Тимтхумб рањивост Гоогле блокира многе Вордпресс веб локације

Тхе Упозорења Гоогле злонамерног софтвера почео да се појављује на Интернету почетком овог месеца, па чак и сада, веб локације су и даље заражене аутономним интернет скриптама. Ако имате веб локацију ВордПресс са прилагођеном премиум темом, можда ћете већ видети горњу поруку када покушате да посетите веб локацију (надам се да не….). Проблем лежи у рањивости која је недавно откривена у популарном скрипту за манипулацију сликама, названом Тимтхумб. Сценариј је веома популаран међу премиум ВордПресс темама, што овај подвиг чини посебно опасним јер је експлоатацијски код већ неколико недеља у дивљини. Добра вест је да ћу преиспитати не само како да откријете да ли сте већ заражени, већ и како да закрпите свој блог да не бисте били заражени.

Како да проверите да ли имате проблем

Осим прегледавања упозорења у Цхромеу сличног оној горе током посете вашој веб локацији, постоје два једноставна начина да видите да ли је ваша ВордПресс инсталација заражена.

Први је спољни вордпресс скенер који је дизајнирао Суцури: http://sitecheck.sucuri.net/scanner/

Друга је скрипта са стране сервера коју постављате на своју веб локацију и затим учитавате из веб прегледача. Ово је доступно на http://sucuri.net/tools/sucuri_wp_check.txt и мораће да се преименују након преузимања према Суцуријевим упутствима испод:

1. Спремите скрипту на своју локалну машину тако што ћете десним тастером миша кликнути на горњу везу и сачувати везу као
2. Пријавите се на своју страницу путем сФТП-а или ФТП-а (препоручујемо сФТП / ССХ)
3. Отпремите скрипту у ваш роот ВордПресс директориј
4. Преименујте суцури_вп_цхецк.ткт у суцури_вп_цхецк.пхп
5. Покрените скрипту преко претраживача по избору - иоурдомаин.цом/суцури_вп_цхецк.пхп - Обавезно промените путању УРЛ-а у домен и где год сте учитали датотеку
6. Проверите резултате

Ако скенери повуку било шта заражено, хтећете да одмах уклоните заражене датотеке. Али, чак и ако скенери приказују „све јасно“, вероватно ћете и даље имати проблема са вашом стварном инсталацијом тимтхумб-а.

Како да то поправим?

Прво, ако то још нисте учинили - извршите резервну копију и преузмите копију свог ВордПресс директорија и своје МиСКЛ базе података. За упуте о сигурносном копирању МиСКЛ базе података погледајте одјељак ВордПресс Цодек. Резервна копија може садржати смеће, али боље је него почети из ничега.

Затим узмите најновију верзију тимтхумб-а на http://timthumb.googlecode.com/svn/trunk/timthumb.php

Сада морамо осигурати нови тимбтхумб .пхп и направити га тако да спољни сајтови не могу активирати скрипте за покретање. Да бисте то учинили, следите ове кораке:

1. Користите уређивач текста попут Нотепад ++ и идите на ред 27 на тимбтхумб.пхп - Требало би да чита $ дозвољеноСитес = низ (
2. Уклоните све наведене веб локације попут „имгур.цом“ и „тинипиц.цом“
3. Након уклањања свега, заграде би требало да буду празне и затворене овако: $ дозвољеноСитес = низ();
4. Сачувај промене.

Ок, сада када је ваша нова скрипта тимбтхумб сигурна, мораћете да се повежете са сервером ваше веб локације преко ФТП или ССХ. У већини ВордПресс прилагођених тема које користе тимбтхумб, налази се у вп-цонтент \ тхемес \ [име теме] фолдер. Избришите стари тимбхумб.пхп и замените га новим. Ако на серверу имате више од једне копије тимбумб-а, морат ћете бити сигурни да ћете заменити СВЕ - приметите да ће их понекад бити позвани тхумб.пхп.

Након што ажурирате тимбтхумб на свом веб серверу и очистите било коју датотеку коју су открили горњи скенери, више је или мање добро да кренете. Ако мислите да можда надограђујете до касно и можда сте већ заражени, одмах се обратите свом веб домаћину и затражите од њега да изврши потпуно АВ скенирање вашег веб сервера. Надамо се да ће вам тада помоћи да поправите у супротном, можда ћете се морати вратити на резервну копију.