İnternet WordPress

WordPress’teki Güncel TimThumb.php Açığı!

Kadir 21 Aralık 2014 9 Comments

Merhaba değerli arkadaşlar,  sitemi yeni kurmuş ve temayı da alıntı olarak kullanan birisi olarak incelerken bazı güvenli olmayan kodlar gördüm. Bu kodları sitemden bir sıkıntı yaşamadım temizledim çok şükür. Ayrıca kodları bulduğum php dosyası hakkında Google’da araştırma yaparken bu dosyada güncel bir tema ve eklenti kaynaklı açık olduğunu öğrendim. Bu yolla bir çok WordPress Tabanlı web sitesi saldırıya uğrayıp hacklenmiş ve deface edilmiş durumda. Bu açıktan dolayı sitesi hacklenen Mark Maunder bunun nasıl olduğunu araştırmış ve açığın bazı sitelerden resim çekme izinlerinden kaynaklı olduğunu tespit etmiş. Bu açık ise TimThumb.php isimli dosya içindeki bazı kodlada mevcut durumda ve halâ güncel.

 

Açığı Nasıl Kapatırız?

Aslında açığı kapatmak o kadar basit ki. TimThumb.php içinde bulunan
$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
‘photobucket.com’,
);

kodları bu açığa sebep oluyor. Bu kod’un $allowedSites değişken kısmı bazı tema veya eklentilerde $ALLOWED_SITES şeklinde olabiliyor. Evet bu kısımdaki kodlardan

‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
‘photobucket.com’,

kısmını siliyoruz ve kod $allowedSites = array ();  yahud $ALLOWED_SITES = array ();  şekline geliyor. Bu şekilde açımızı kapatıyoruz.

Önemli bir not olarak ise sitemizde bulunan tüm tema ve eklentilerin timthumb.php doslarını bulup içindeki bu kodları temizlememiz gerekiyor. Aksi halde saldırıya uğramak olasıdır.

 

TimThumb.php Ne İşe Yarar?

WordPress Temalarında ve Eklentilerinde yaygın olarak kullanılan bir eklentidir ve resimleri boyutlandırmaya yarar. Ayrıca da bu nedenle açık büyük risk taşımaktadır.

 

TimThumb.php Dosyası Barındıran 230 Adet Tema İsmi

  1. Minimal
  2. nebula
  3. Minimo
  4. Polished
  5. Webly
  6. TheStyle
  7. TuaranBlog
  8. striking
  9. MyCuisine
  10. TheCorporation
  11. AskIt
  12. Aggregate
  13. TheSource
  14. reviewit
  15. kelontongfree
  16. Mentor
  17. SimplePress
  18. journalcrunch
  19. ecobiz
  20. Magnificent
  21. timthumb.php
  22. Olympia
  23. kingsize
  24. Chameleon
  25. DelicateNews
  26. videozoom-v2.0-original
  27. videozoom
  28. Envisioned
  29. twicet
  30. u-design
  31. genoa
  32. OptimizePress
  33. Modest
  34. mocell
  35. ephoto
  36. Theme
  37. InReview
  38. lightpress
  39. hostme
  40. PersonalPress
  41. Cadca
  42. arras
  43. tiwinoo_v3
  44. MyProduct
  45. sc4
  46. InterPhaseTheme
  47. InStyle
  48. LightBright
  49. TheProfessional
  50. mnfst
  51. freshnews
  52. ArtSee
  53. Boutique
  54. eStore
  55. Avenue
  56. twentyten
  57. XSWordPressTheme
  58. adcents
  59. Nova
  60. MyPhoto
  61. eGallery
  62. Striking_Premium_Corporate
  63. default
  64. Lycus
  65. manifesto
  66. cold
  67. DynamiX
  68. tarnished
  69. Nyke
  70. linepress
  71. DJ
  72. adria
  73. zimex
  74. peano
  75. ElegantEstate
  76. delight
  77. kelontong-free
  78. duotive-three
  79. SobhanSoft_Theme
  80. PureType
  81. yamidoo_pro
  82. vulcan2.1
  83. eGamer
  84. Wooden
  85. peritacion
  86. AmphionPro
  87. trinity
  88. dandelion_v2.6.3
  89. Juggernautgrande
  90. juggernaut-theme
  91. BlackLabel_v1.1.2
  92. Feather
  93. reviewit1
  94. zinepress_v1.0.1
  95. tribune
  96. photoria
  97. vilisya
  98. DailyNotes
  99. Basic
  100. minerva
  101. anthology_v1.4.2
  102. ModestTheme
  103. purevision
  104. parquet
  105. framed-redux
  106. eceramica
  107. InterPhase
  108. epsilon
  109. Striking
  110. thedawn
  111. peava
  112. Newspro
  113. telegraph
  114. averin
  115. telegraph_v1.1
  116. Memoir
  117. NewsPro
  118. CircloSquero
  119. vassal
  120. maxell
  121. 13Floor
  122. wpanniversary
  123. OnTheGo
  124. Glider
  125. mohannad-najjar222
  126. mohannad-najjar2
  127. arthemia
  128. tuufy7
  129. photoframe
  130. beach-holiday
  131. blacklabel
  132. cadabrapress
  133. snapwire
  134. bizpress
  135. themesbangkoofree
  136. TOA
  137. D4
  138. eNews
  139. vulcan
  140. overtime
  141. rockwell_v1.0
  142. vicon
  143. wideo
  144. CherryTruffle
  145. mio
  146. rttheme13
  147. Linepress
  148. DeepFocus
  149. advanced-newspaper202
  150. OptimusPrime
  151. Quadro
  152. Lumin
  153. minima
  154. identity
  155. U-design.v1.1.2_hkz
  156. KP
  157. Petra
  158. services
  159. 13FloorTheme.php
  160. BD
  161. PolishedTheme
  162. 13FloorTheme
  163. kiwinho
  164. graphix
  165. jerestate
  166. centro
  167. corage
  168. Reporter
  169. TheTravelTheme
  170. XSBasico
  171. openhouse
  172. seosurfing1
  173. bluebaboon
  174. Newspro-2.8.6
  175. nd
  176. zoralime
  177. GrupoProbeta
  178. eBusiness
  179. purplex
  180. kitten-in-pink
  181. FashionHouse
  182. WhosWho
  183. Deviant
  184. Bold
  185. BusinessCard
  186. EarthlyTouch
  187. GrungeMag
  188. LightSource
  189. Simplism
  190. TidalForce
  191. Glow
  192. Influx
  193. StudioBlue
  194. jpmegaph
  195. redina
  196. tritone
  197. dandelion_v2.5
  198. Bluesky
  199. ColdStone
  200. silveroak
  201. newspro
  202. GamesAwe
  203. caratinga.net
  204. SimplePressTheme
  205. MyResume
  206. MyApp
  207. theme
  208. bigcity
  209. dandelion_v2.6.1
  210. chronicle
  211. cuizine
  212. thesis_18
  213. advanced-newspaper_new
  214. Event
  215. wpbedouine
  216. rt_affinity_wp
  217. arry12
  218. backup-TheStyle
  219. ExploreFeed
  220. zzzzzzzzz
  221. Bluemist
  222. Hermes
  223. cleartype_v1.0
  224. polariswp
  225. Chameleon 1.6
  226. sniper
  227. adena
  228. ariela
  229. FreshAndClean
  230. wp-creativix

 

TimThumb.php Dosyası Barındıran Bazı Eklentiler (29 Adet)

1. portfolio-slideshow-pro
2. wp-mobile-detector
3. a-wp-mobile-detector
4. shortcodes-ultimate
5. igit-related-posts-with-thumb-images-after-posts
6. dukapress
7. verve-meta-boxes
8. db-toolkit
9. logo-management
10. wp-marketplace
11. islidex
12. aio-shortcodes
13. category-grid-view-gallery
14. WPFanPro
15. igit-posts-slider-widget
16. wordpress-gallery-plugin
17. cms-pack
18. Premium_Gallery_Manager
19. dp-thumbnail
20. placid-slider
21. nivo-slider
22. photoria
23. LaunchPressTheme
24. kc-related-posts-by-category
25. journalcrunch
26. download-manager
27. wordpress-thumbnail-slider
28. sugar-slider
29. optimizepress

9 Replies to “WordPress’teki Güncel TimThumb.php Açığı!”

  1. Konuyu açtığınız için öncelikle teşekkür ederim. Bu tür açıkların olması ciddi sorunlar oluşturmakta. Kenditemde şahsen exploit linkleri ve kodları buldum. Sitemin tehdit altında olduğunu düşünüyorum. TimThumb.php açığı çok kişinin canını yakacak gibi duruyor. Tekrar teşekkür ediyorum.

    Yanıtla

  7. Bilmiyordum böyle bir açık olduğunu. Sitelerimize tema yüklerken dikkat etmemiz gerek bu tür şeylerle karşılaşmamak için. Warez temalardanda uzak durmakta fayda var tabi.

    Yanıtla

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir