Protege tu plantilla de hackeos con Timthumb Scanner

  • Autor Autor Googleriano
  • Fecha de inicio Fecha de inicio
G

Googleriano

Esta semana he sido victima de hackeo a mi sitio principal, y todo gracias al archivo Timthumb que tienen miles de plantillas wordpress, el cual se usa para re dimensionar las imágenes o thumbails. Gracias a dios la empresa que me da el servicio del servidor bloqueo el uso del archivo.

Así como yo miles de webmaster están vulnerables, si tienen el archivo Timthumb.php en su plantilla.
Tienes que protegerte ahora mismo en caso de que tu plantilla funcione con este archivo para redimensionar los thumbails.

1. Instala este plugin para que escanees la carpeta cache de tumbails de tu plantilla: Timthumb Scanner. Este plugin te dirá los archivos que fueron inyectados por el hacker a tu carpeta CACHE, para que los elimines de inmediato.

2. Luego actualiza Timthumb a la ultima versión desde timthumb - image crop zoom resize management - Google Project Hosting. El archivo actualizado es este: Enlace eliminado

3. Asegúrate que el siguiente parámetro este en FALSE. Por defecto esta en TRUE en el codigo que nos proporcionan.

Insertar CODE, HTML o PHP: 
define ('ALLOW_EXTERNAL', false);

4. Realizar estos cambios:

Cambiar:
Insertar CODE, HTML o PHP: 
 $ AllowedSites = array (
	 "Flickr.com",
	 'Picasa.com',
	 'Img.youtube.com',
	 'Upload.wikimedia.org',
 );

Por:
Insertar CODE, HTML o PHP: 
$ AllowedSites = array ();

De esta forma pude proteger un poco mi carpeta cache de la plantilla. Cuando use el plugin encontre 24 archivos que fueron inyectados por el hacker en mi servidor... 😡😡😡😡😡😡
 
ahi lo estoy probando..
a mi me paso hace un par de seanas...
hay una opcion para hacer update del archivo vulnerable... eso lo probaste?
 
Yo bajé el archivo de google, porque también me hackearon y creo que ese archivo tuvo algo que ver...

Quería saber también si conocéis algún sistema que te avise de que hay actualizaciones (que lo haga por email) he visto algunos plugins pero no veo que ninguno diga que funciona con la última versión de wordpress, como manejo varios sitios de clientes necesito saber cuándo salen actualizaciones para cada uno, revisé ahora y un cliente seguía con su wordpress 2.x, no lo había actualizado...
 
sobre el aviso de wordpress, al menos a mi me avisa google por medio del webmaster tool
me manda mails cuando hay una version nueva de wordpress pero no se si de plugs hay algo
 
blog2k dijo:
ahi lo estoy probando..
a mi me paso hace un par de seanas...
hay una opcion para hacer update del archivo vulnerable... eso lo probaste?
Hacer clic para expandir...

Para utilizar esa opción tienes que cambiar los permisos de tu carpeta de plantilla, y del archivo Timthumb.php a 777... pero creo que es mas fácil cambiarlo manualmente.

blog2k dijo:
sobre el aviso de wordpress, al menos a mi me avisa google por medio del webmaster tool
me manda mails cuando hay una version nueva de wordpress pero no se si de plugs hay algo
Hacer clic para expandir...

Google avisa de actualizaciones wordpress, pero no de este archivo. Mira mi caso, siempre estoy actualizado, y sin embargo me estaban hackeando por otro lado, jejej...
 
Podrías subir el archivo con los cambios mencionados? sería genial tenerlo disponible, porque la verdad andar buscando entre códigos me mata...
 
Gracias master

Yo tengo la version 2.7 y el numero 3 viene por default 'True' y lo que dices en el punto 4 no viene en el script
 
----


define ('ALLOW_EXTERNAL', false);

no encuentro ese código en el php...
 
Mejor no utilicéis timthumb... utilizad las funciones de WordPress para manejar imágenes.

Enlace eliminado
 
Encontré este plugin para actualizar a versiones sin problemas *se supone

WordPress › Timthumb Vulnerability Scanner « WordPress Plugins

jonay dijo:
Mejor no utilicéis timthumb... utilizad las funciones de WordPress para manejar imágenes.

Enlace eliminado
Hacer clic para expandir...

desgraciadamente la plantilla de mi cliente lo usa, y el programador de la plantilla es bastante chapuzas, por no hablar de que le dio pereza lanzar la versión archivo actualizado hasta semanas después de que se descubrió el problema
 

Se puede realizar los cambios en unos 10 minutos aproximadamente. No solo es recomendable por los errores de timthumb sino por ahorrar tiempo de carga en el sitio... ya que timthumb redimensiona con PHP al momento que el usuario carga la página... y normalmente ponen imagenes bastantes grandes de unos 800 o 900 pixeles, con lo que tarda todavía más. Además que gasta más transferencia por que cada X rato se tiene que generar la miniatura.
 
dejo el archivo modificado, espero les sirva

Ver el archivo adjunto 4189

para los que modificaron manualmente y les arrojo error es por la siguiente linea

Insertar CODE, HTML o PHP: 
$ AllowedSites = array ();

vemos que esta dejando espacio entre $

Insertar CODE, HTML o PHP: 
$ALLOWED_SITES = array ();

saludos
 
gracias

le pasé el scan y había 2 versiones del plugin sin actualizar, ayer le escribí al autor del theme (de pago de Themeforest) y le importó un bledo, sólo me dijo
"ay pero a mí nunca me han hackeado... en 2 años" pues me alegro por él
 
ramonjosegn dijo:
pues si me explicas cómo...
Hacer clic para expandir...

Con exactitud no puedo explicarte tu caso, ya que cada theme es diferente, pero al tenerlo ya con timthumb lo tienes más fácil. Simplemente debes cambiar en los archivos de tu tema, donde ponga la etiqueta img habrá algo que diga timthumb.php?... debes reemplazar de lleno todo lo que contiene el src de el img por:

Insertar CODE, HTML o PHP: 
<?php echo mostrar_img(get_the_ID(),'m160'); ?>

como explico en el blog (m160 es un tamaño que yo creé en el functions.php, tu debes poner el que lleve esa img en concreto, si es de 120 por 120, deberás crear un nuevo tamaño, esto se consigue desde el functions.php de tu theme, añadiendo esto donde quieras)

Insertar CODE, HTML o PHP: 
if(function_exists('add_image_size')){
add_image_size('m160', 160, 120, true);
add_image_size('m146', 146, 108, true);
}

Como ves, solo debes crear una image size para cada tamaño con el que corresponda.

Cuando hayas echo eso, aparecerá en el blog las imágenes antiguas al tamaño que tenian cuando lo subistes por el upload de WordPress. Ya que como expliqué en la entrada de mi blog a las antiguas no les afecta... para ello instala el plugin "AJAX Thumbnail Rebuild" para redimensionar las antiguas a los nuevos tamaños y luego desactivarlo y eliminalo.

Básicamente eso es lo que tienes que hacer... Enlace eliminado por si tienes alguna duda en algún paso en concreto.

Se me olvidó decir que tienes que añadir esta otra function al functions.php de tu theme

Insertar CODE, HTML o PHP: 
function mostrar_img($id,$tam){
$files = get_children("post_parent=$id&post_type=attachment&post_mime_type=image");
if($files){
$keys = array_keys($files);
$thumb=wp_get_attachment_image_src($keys[0], $size = $tam, $icon = false);
return $thumb[0];
}
}
 
Última edición:
No se si aun queden personas vulnerables, pero lo que si es que un bot o alguien estan intentando ataques aun, en mi log de Apache me aparecen peticiones buscando el archivo de timthumb en varios directorios. Aqui esta parte del log del dia de hoy:

Correccion: Esta direccion IP es de CloudFlare, y asi que no estoy seguro de que IP vengan estas peticiones ya que en el Threat control me aparecen muchas IP.
Espero y no se molesten por revivir este tema masomenos viejo. :distant:
 
Última edición:
tambien filezilla te genera un thum.dll, no se si sea un archivo oculto
 
blogers dijo:
tambien filezilla te genera un thum.dll, no se si sea un archivo oculto
Hacer clic para expandir...

El thumb no lo genera filezilla, lo genera Windows para guardar las miniaturas de las imagenes o no recuerdo exactamente pero es algo seguro y es un archivo oculto del sistema.
 
A ya veo por que siempre que subo algo se va al server es archivito
shadowhck dijo:
El thumb no lo genera filezilla, lo genera Windows para guardar las miniaturas de las imagenes o no recuerdo exactamente pero es algo seguro y es un archivo oculto del sistema.
Hacer clic para expandir...
 
No encuentro el código del apartado 4, qué quiere decir eso 🙁?

 
Hay que estar conectado o registrado para responder aquí.
Menú
Acceder
Registro