近日,公司网站总是被黑客攻击,经过几天的努力从利用软件杀毒、利用特征匹配人工杀毒、程序的重新安装等各种措施均无效,后来在仔细观察了以后总是发现一个情况,木马会在我网站的根目录创建 x.txt 以及 logx.txt 文件,通过查看内容能看到 恶意程序的名单,仔细的看都有一个共同的特点,就是在我的主题文件夹的cache文件夹里面产生一个external_md5值.php木马,然后我将目光瞄准到了我的主题文件以后,通过网上查询资料,找到了漏洞的根源。
漏洞主要是因为在timthumb中默认定义了一个包括 Flickr、Picasa等著名图片分享网站的白名单。黑客可以通过timthumb对这些白名单验证上的漏洞,使一些来自像”http://flickr.com.域名.com”这样的域名,获取上传执行PHP代码的权限。也就是说,如果你的主题有使用timthumb.php来动态生成缩略图,黑客可以通过timthumb的这个漏洞,任意上传各种恶意程序到你的timthumb.php定义的图片缓存目录!
主要代码在:
// external domains that are allowed to be displayed on your website$allowedSites = array (‘flickr.com’,‘picasa.com’,‘blogger.com’,‘wordpress.com’,‘img.youtube.com’,);
似乎这个漏洞已经出了一段时间了,但是国外的一些主题还依然使用着具有漏洞的版本,从而导致网站被黑。
补救方法:
1、用最新版本的timthumb.php覆盖原文件; http://code.google.com/p/timthumb/
2、删除白名单;
3、服务器目录权限设置。
以下是朋友Slmint提供的一个安全规则可以有效防范黑客运行PHP木马:
<Directory "D:\opt\www\webroot\upload"> //注意:这里改成你需要屏蔽的目录 比如upload目录
php_flag engine off
<Files ~ "\.(php|jsp)">
Order allow,deny
Deny from all
</Files>
</Directory>
防不胜防啊…… :sweat:
是呀,国外那帮黑客真心牛B,几百几千个文件里面都能找出漏洞。
我当时找这个漏洞找的好幸苦,最后查资料才发现 是主题里面的这个文件有漏洞。。
这个一定要顶!
用国外主题的 最好都检查下,还有遇到加密主题 也要小心 木马也许就藏在里面了。。
这个漏洞的确很长时间了,只是主题的制作者并没有更新才导致了有很多的历史遗留问题。
这个漏洞从哪个版本开始的啊
謝謝。這個東西已經體驗過了。
路过,漏洞什么的很讨厌