BDI BBS

O Timthumb é um script em php, com a finalidade de redimencionar uma imagem dentro de um website, mantendo uma determinada resolução sem se preocupar com o tamanho (em pixels) original da imagem. Esse script é muito utilizado em sites e blogs no WordPress, não em seu código básico, mas em plugins e temas de terceiros.

Feita a introdução, esse artigo é para informar que o Timthumb em versões anteriores a 2.0 possui uma vulnerabilidade perigosa que permite que um invasor possa injetar códigos php em seu site que evetualmente use esse script. A forma conhecida de invasão faz que o site seja um propagador de vírus aos usuários que acessa seu website.

Houve uma ocorrência em um de nossos sites, que felizmente foi detectado no momento que foi alterado e com isso houve a interrupção, limpeza e recolocação do site no ar em menos de duas horas. Para os que ainda não conhecem o problema vamos listar aqui os passos para que possa se precaver ou até mesmo resolver qualquer problema ocasionado pela versão em questão do Timtumb.

Como saber se meu website usa o Timthumb

O Timthumb se resume a um único arquivo chamado timthumb.php, mas ele não é um plugin e sim parte de um outro plugin ou template, por isso o melhor a fazer é olhar as pastas que compõe a sua instalação do WordPress e checar a existência do arquivo (timthumb.php).

Existe uma ferramenta online que busca vulnerabilidades na instalação de seu site: Sucuri SiteCheck e pode ajudar a encontra-lo.

O que acontece.

Alguns arquivos são inseridos em sua instalação do WordPress e outros são alterados. Aqui estão listados os arquivos detectados pelo nosso caso em especial:

Na pasta do Timthumb (que pode variar de acordo com o tema)

• Incluído: e334…php (uma sequencia enorme)
• Incluído: upd.php
• Incluído: Várias entradas na pasta cache
• Alterado: timthumb.php

• Incluído: /wp-admin/commom.php
• Incluído: /wp-admin/upd.php
• Incluído: /wp-admin/js/config.php

Na pasta raiz do WordPress:

• Alterado: /wp-config.php
• Alterado:  /index.php

O que fazer

Os arquivos acima que foram incluídos, deverão ser apagados.

A pasta cache do Timthumb, deve ser esvaziada.

O próprio arquivo do Timthumb deve ser alterado para sua versão mais recente, que é a 2.7 e poderá ser baixada aqui:

http://timthumb.googlecode.com/svn/trunk/timthumb.php

Havendo alguma dúvida poderá verificar a versão do Timthumb no inicio do script, mesmo assim, é recomendado que se verifique se não sofreu alteração, visto que em nosso caso a versão existente era a 2.4 e já havia sido adulterada. É bom lembrar que a partir da versão 2.0 o Timthumb não possui problemas, porém a invasão já pode ter dissimulado essa informação. Todo cuidado é pouco.

O arquivo wp-config.php poderá ser editado manualmente, “limpando o código inserido ao seu final” ou então substituído por seu backup (Você TEM que ter backup). O arquivo index.php, da pasta raiz do WordPress pode ser substituido por seu equivalente de mesma versão do WordPress.

Convém bloquear o acesso ao seu site dos endereços IPs:

• 91.220.*.*
• 91.196.*.*

Não sabendo como proceder veja alguns links abaixo que ajudarão.

Uma lista de temas com Timthumb

No Sucuri Reserach Blog, foi publicado uma lista de temas que contém o Timthumb e podem estar vulneráveis pelo problema citado. Essa lista não é completa e não é totalmente confiável pois alguns temas já sofreram alterações, mas já é uma base. Lembrem-se que não somente temas estão passíveis de usar o Timthumb, alguns plugins fazem uso dele também.

Timthumb Security Vulnerability – List of Themes

Referências:

Timthumb Vulnerability + Security Update

markmaunder.com/2011/zero-day-vulnerability-in-many-wordpress-themes

blog.vaultpress.com/2011/08/02/vulnerability-found-in-timthumb

blog.sucuri.net/2011/08/wordpress-sites-hacked-with-superpuperdomain-com-attacking-timthumb-php.html

ravidreams.com/2011/08/fix-timthumb-security-issue

[Security] TimThumb Vulnerability – Fixes

TimThumb.php Vulnerability Not Only Affecting Themes – Plugins too (vslider)

ma.tt/2011/08/the-timthumb-saga

techspheria.com/2011/08/phpremoteview-hack-what-it-is-and-how-to-remove-it

markmaunder.com/2011/wordthumb-is-now-timthumb-2-0

Alerta

Esta falha de segurança também se aplica a todos os seus temas inativos também. Se você tiver qualquer tema, mesmo se estiver inativo, que contém o arquivo timthumb.php então você está potencialmente em risco. A sugestão é excluir todos os temas que você não está usando, além de atualizar os que você usa. Este arquivo é muito comum em temas WordPress, gratuitos ou pagos.