警告:注意WordPress主题的缩略图脚本timthumb.php漏洞

近日,公司网站总是被黑客攻击,经过几天的努力从利用软件杀毒、利用特征匹配人工杀毒、程序的重新安装等各种措施均无效,后来在仔细观察了以后总是发现一个情况,木马会在我网站的根目录创建 x.txt 以及 logx.txt 文件,通过查看内容能看到 恶意程序的名单,仔细的看都有一个共同的特点,就是在我的主题文件夹的cache文件夹里面产生一个external_md5值.php木马,然后我将目光瞄准到了我的主题文件以后,通过网上查询资料,找到了漏洞的根源。

漏洞主要是因为在timthumb中默认定义了一个包括 Flickr、Picasa等著名图片分享网站的白名单。黑客可以通过timthumb对这些白名单验证上的漏洞,使一些来自像”http://flickr.com.域名.com”这样的域名,获取上传执行PHP代码的权限。也就是说,如果你的主题有使用timthumb.php来动态生成缩略图,黑客可以通过timthumb的这个漏洞,任意上传各种恶意程序到你的timthumb.php定义的图片缓存目录!

主要代码在:

// external domains that are allowed to be displayed on your website
$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
);

似乎这个漏洞已经出了一段时间了,但是国外的一些主题还依然使用着具有漏洞的版本,从而导致网站被黑。

 

补救方法

1、用最新版本的timthumb.php覆盖原文件; http://code.google.com/p/timthumb/

2、删除白名单;

3、服务器目录权限设置。

以下是朋友Slmint提供的一个安全规则可以有效防范黑客运行PHP木马:

<Directory "D:\opt\www\webroot\upload">   //注意:这里改成你需要屏蔽的目录 比如upload目录 

php_flag engine off

<Files ~ "\.(php|jsp)">

    Order allow,deny

    Deny from all 

</Files>

</Directory>

 
Linux安全之PHP木马查杀与防范
http://xloli.net/html/201301/thread-3066-1-1.html

发布者

Zmsky

http://xloli.net/?page_id=11

《警告:注意WordPress主题的缩略图脚本timthumb.php漏洞》上有9条评论

    1. 是呀,国外那帮黑客真心牛B,几百几千个文件里面都能找出漏洞。
      我当时找这个漏洞找的好幸苦,最后查资料才发现 是主题里面的这个文件有漏洞。。

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据