RSS
 

WordPress-sajter hackade med TimThumb

25 Aug

Den här månaden har verktyget TimThumb använts för att hacka ett stort antal WordPress-sajter. Timthumb används för att skala ner en bild den hämtat från valfri adress. Av säkerhetsskäl går det som standard endast att hämta filer från vissa domännamn, till exempel flickr.com och picasa.com.

Kontrollen av adressen som angetts gör via php-kommandot stristr som endast kontrollerar att en av de godkända domännamnen finns med någonstans i hostnamnet som angetts.

Det innebär att även adresser som http://flickr.com.firastbill.com/flickr.com/huy3.php godkändes, filen hämtades och sparades på WordPress-sajten. På den hackade WordPress-sajten har oftast två shellscript-filer lagts in, på wp-admin/upd.php och wp-content/upd.php. Passwordet som används verkar alltid vara en slumpad siffra upp till 100 och det är därför lätt att upptäcka passwordet utifrån md-hashen. I fallet nedan är passwordet 59.

Dessutom läggs php-kod in i wp-config.php och wp-settings.php. I wp-config läggs detta in:

I wp-settings.php läggs detta in:

Koden i wp-settings körs endast om Googlebot kommer på besök medan koden i wp-config.php används av hackern för att kontrollera sajten. Förutom att få direktaccess till WordPress-sajtens adminsida kan hackern även ladda hem och köra php-kod. Denna möjlighet har hackern använt på ett lite oväntat sätt. En rad ur accessloggen för en hackad sajt ser ut så här:

Superpuperdomain.com står under hackerns kontroll och ligger för tillfället nere så man kan inte se vad filen tim.txt. Däremot kan man se vad som skedde samtidigt. När scriptet från superpuperdomain.com kördes hämtades http://timthumb.googlecode.com/svn/trunk/timthumb.php som är senaste versionen av TimThumb.

Den nya TimThumb-filen har installerats och säkerhetshålet som gjorde att hackern först kom in är nu alltså åtgärdat. Antagligen görs det för att stoppa andra hackers från att komma in och försvåra upptäckt av sajter som hackats.

Sucuri.net listar över 150 olika WordPress-tema som innehåller en osäker version av Timthumb. De har då endast kontrollerat de tema som är fritt tillgängliga på WordPress.org.

Uppdatering 29 augusti: I fredags körde hackern ett script på http://91.196.216.20/16.txt (sparad kopia). Detta script söker genom kontot efter wp-settings.php och tar bort den skadliga koden som tidigare lagts in. Även http://91.196.216.20/19.txt (sparad kopia) har använts för att hämta hem ytterligare filer och lägga in krypterad javascriptkod i wp-includes/js/l10n.js och wp-includes/js/jquery/jquery.js.

 
 

Tags: , ,

Lämna en kommentar

 

 
  1. Kim

    7 september, 2011 at 20:10

    Tack för superbra info. Vet du om injektionen kan klättra till andra sajter inom samma ftp?

     
  2. foks

    9 september, 2011 at 07:23

    Hej Kim! Om php-script på den infekterade sajten har rätt att skriva på andra sajter är det risk att de också attackeras. För det mesta verkar hackern hålla sig inom WordPressinstallationen men i några fall har jag sett att även andra filer på kontot infekteras med malwarekod.

     
  3. Christer Bjuhr

    16 september, 2011 at 05:31

    Min sida blev hackad för någon månad sedan och det har varit ett hästjobb att rensa detta. Webhotellet stängde ner sidan, vilket gjorde det svårt att genomföra lämpliga åtgärder. Förutom den inplementerade koden har jag inte blivit infekterad av virus eller något annat. Däremot uppdateras koden varje gång googlebot kommer på besök, vilket gör att det är svårt att bara radera den skadliga koden.

    Hur gjorde jag då? Jag fick hjälp av en fantastisk kille som har skapat mitt tema med att återställa temat. Sedan lyckades jag genomföra en manuell uppdatering av wordpress trots att jag inte hade tillgång till panelen. Jag fick även rensa en del filer, men det var inget som påverkade min sajt. Idag fungerar sidan perfekt. I framtiden ska jag vara mer noggrann att uppdatera teman och wordpress, för det är det som har möjligjort att hackaren har kommit åt den.

     
  4. Länkar din WP-sajt till viagra-försäljning?

    16 oktober, 2011 at 13:30

    […] även: WordPress-sajter hackade med TimThumb How to protect your WordPress site as hackers exploit TimThumb security hole You shouldn’t […]