Timthumb Vulnerability Gør mange WordPress-websteder blokeret af Google
Google Malware-advarslerne begyndte at springe over internettet tidligt i denne måned, og selv nu bliver websteder stadig inficeret af autonome internetskripter. Hvis du kører et WordPress-websted med et brugerdefineret premium-tema, kan du muligvis allerede se ovenstående meddelelse, når du prøver at besøge dit websted ( forhåbentlig ikke .... ). Problemet ligger i en sårbarhed, der for nylig blev opdaget i et populært billedmanipulationskript kaldet Timthumb. Scriptet er meget populært blandt premium WordPress Temaer, hvilket gør dette udnytte særligt farligt væsen, at udnytte kode har været i det vilde i flere uger allerede. Den gode nyhed er, jeg vil ikke bare gennemgå, hvordan du opdager, om du allerede er smittet, men også hvordan du laver din blog for at forhindre at blive inficeret i første omgang.
Sådan kontrolleres, om du har et problem
Bortset fra at se en advarsel i Chrome ligner den ovenstående, mens du besøger dit websted, er der to nemme måder at se, om din WordPress-installation er blevet inficeret.
Den første er en ekstern wordpress scanner designet af Sucuri: http://sitecheck.sucuri.net/scanner/
Det andet er et server side script, som du uploader til dit websted og derefter indlæses fra en webbrowser. Dette er tilgængeligt på http://sucuri.net/tools/sucuri_wp_check.txt og skal omdøbes efter download som beskrevet i Sucis instruktioner nedenfor:
- Gem script til din lokale maskine ved at højreklikke på linket ovenfor og gem link som
- Log ind på dit websted via sFTP eller FTP (Vi anbefaler sFTP / SSH)
- Upload scriptet til din rod WordPress-mappe
- Omdøb sucuri_wp_check.txt til sucuri_wp_check.php
- Kør scriptet via valgfri browser - yourdomain.com/sucuri_wp_check.php - Sørg for at ændre URL-stien til dit domæne, og hvor end du uploadede filen
- Kontroller resultaterne
Hvis scannerne trækker op noget inficeret, vil du straks fjerne de inficerede filer. Men selvom scannerne viser "helt klart", har du sandsynligvis stadig et problem med din faktiske timthumb installation.
Hvordan reparerer jeg det?
For det første, hvis du ikke allerede har gjort det -backup og download en kopi af din WordPress-mappe og din MySQL-database. For instruktioner om sikkerhedskopiering af MySQL-databasen, se WordPress Codex. Din backup kan indeholde uønsket, men det er bedre end at starte fra ingenting.
Tag derefter den seneste version af timthumb på http://timthumb.googlecode.com/svn/trunk/timthumb.php
Nu skal vi sikre den nye timbthumb .php og gøre det, så eksterne sider kan ikke aktivere run scripts. For at gøre dette skal du følge disse trin:
- Brug en tekst editor som Notesblok ++ og gå til linje 27 i timbthumb.php - Det skal læses $ allowedSites = array (
- Fjern alle de nævnte websteder som "imgur.com" og "tinypic.com"
- Efter fjernelse af alt skal parentesen nu være tom og lukkes således: $ allowedSites = array ();
- Gem ændringer.
Okay, nu hvor dit nye timbthumb script er sikkert, skal du forbinde til din websteds server via FTP eller SSH. I de fleste WordPress brugerdefinerede temaer, der bruger timbthumb, er den placeret i mappen wp-content \ themes \ [themename] . Slet den gamle timbhumb.php og erstat den med den nye. Hvis du har mere end en kopi af timbthumb på din server, skal du være sikker på at erstatte dem alle. Bemærk, at de nogle gange vil blive kaldt thumb.php.
Når du har opdateret timbthumb på din webserver og fjernet nogen af de filer, der blev registreret af ovenstående scannere, er du mere eller mindre god at gå. Hvis du mener, at du måske opgraderer lidt for sent, og du måske allerede er smittet, skal du straks kontakte din webhost og bede dem om at lave en fuld AV-scanning af din webserver. Forhåbentlig kan det hjælpe med at reparere dig, ellers måtte du muligvis vende tilbage til en backup.