Moin,
gerade habe ich einen Artikel gelesen, sowohl bei Golem als auch bei Mark Maunder, dem Entdecker der Sicherheitslücke. Die Sicherheitslücke befindet sich in der Datei “timthumb.php” welche in vielen WordPress Themes verwendet wird um Bilder zu skalieren oder Thumbnails zu erstellen. Die Datei beinhaltet eine Domainabfrage von welcher Bilddateien von externen Quellen geladen werden dürfen. Über diese Datei können sich böse Buben und böse Mädchen zutritt verschaffen und auf Dateiebene Schadcode einschleusen.
Lösung: Entweder die Datei “timthumb.php” komplett löschen oder die Datei bearbeiten und folgenden Inhalt ändern:
$allowedSites = array (
'flickr.com',
'picasa.com',
'blogger.com',
'wordpress.com',
'img.youtube.com',
'upload.wikimedia.org',
);
Die aufgelisteten Einträge löschen und die Datei speichern. Der Eintrag sollte jetzt so aussehen:
$allowedSites = array ();
Ausserdem sollte über die Konsole mit dem Befehl:
grep -r base64_decode *
das WordPressverzeichnis durchsucht werden um eventuell befallene Dateien zu ermitteln. Der Befehl liefert einige Einträge, wenn allerdings welche vorhanden sind welche einen extrem langen String enthalten, dann wurde die Datei höchstwahrscheinlich gehackt!
Wir haben bereits alle WordPress Installation entsprechend gereinigt und die timthumb.php entfernt!
Quellen: Golem.de und MarkMaunder.com
