小心 TimThumb 就在你家
早在 8 月份的時候就傳出了:WordPress擴充套件TimThumb出現零時差漏洞,但是這個漏洞的災情直到最近才擴大開來。
因為就在上個禮拜有幾個用 WordPress 架站的部落格傳出網頁被植入惡意程式碼,輕則將你瀏覽網站的訪客導向其他頁面,重則直接讓來訪的人電腦中毒,所以有用 WordPress 架站的人一定要慎防!
而其實我早在 8 月份就有一份使用 TimThumb 這個縮圖外掛的清單,原因就是有人用這一份清單在我的網站上 Try !
所以就會在主機的 cPanel 後台留下了這樣子的錯誤記錄 Log ,這也就是我一直強調大家要經常檢查你的網站記錄的原因:凡走過必留下痕跡!
TimThumb 版型清單
所以這是駭客所貢獻出來的一份清單,而這份清單本是只是留下來參考,現在既然已經有許多人受害,那我就將它公佈出來,如果有用 WordPress 架站的站長請你一定要檢查你是不是有這些版型?
要特別注意的是不只是現在用的被型而已,就算是沒有啟用但是有安裝也會被駭,因為人家可以找到你的檔案而去執行它!
13floor
1-flash-gallery
8q
abstract
aerial
a-gallery
albizia
ambience
amphion-lite
aperture
Apz
aqua-blue
aranovo
arras
arras-theme
arthemix-bronze
arthemix-green
arthemix-green-free
artisan
a-simple-business-theme
AskIt
a-supercms
aureola
aurorae
auto-attachments
autofashion
automotive-blog-theme
backstage
Basic
bikes
black_eve
blex
bloggingstream
bloggnorge-a1
blogified
blogtheme
blue-corporate-hyve-theme
bluemag
blue-news
Bold
bombax
breakingnewz
brightsky
brochure-melbourne
bueno
business-turnkey
busybee
cac-featured-content
calotropis
canvas
category-grid-view-gallery
category-list-portfolio-page
cevhershare
Chameleon
cinch
cityguide
cms-pack
coffeebreak
coffee-lite
ColdStone
comet
comfy-3.0.9
community-events
conceditor-wp-strict
constructor
copyright-licensing-tools
count-per-day
couponer
coverht-wp
cover-wp
crawlrate-tracker
crisp
cushy
dailyedition
dark-dream-media
deep-blue
DeepFocus
delicate
diamond-ray
diarise
dieselclothings
digitalblue
digitalfarm
dimenzion
dp-thumbnail
eGamer
ElegantEstate
eNews
epione
esthete
evarisk
eventify
eVid
evr-green
extend-wordpress
facebook-opengraph-meta-plugin
famous
fashion-style
featuring
flashnews
fliphoto
flix
fordreporter
forewordthinking
freeside
fresh-blu
freshfolio
freshnews
gazette
geometric
Glow
go-green
gothamnews
granite-lite
grapefile
greydove
greyzed
groovyvideo
gunungkidul
headlines
heartspotting-beta
heli-1-wordpress-theme
ideatheme
image-gallery-with-slideshow
impressio
InReview
inspire
introvert
inuit-types
irresistible
islidex
isotherm-news
iwana-v10
jambo
jcblackone
kino-gallery
kratalistic
life-style-free
LightBright
likehacker
lisl-last-image-slider
livewire
loganpress-premium-theme-1
LondonLive
magazeen
magazine-basic
magazinum
Magnificent
magup
make-money-online-theme
make-money-online-theme-1
make-money-online-theme-2
make-money-online-theme-3
make-money-online-theme-4
max-3.0.0
meintest
metamorphosis
mimbopro
Minimal
mobilephonecomparision
modularity
moi-magazine
my-heli
mymag
MyProduct
mystique
mystream
myweblog
nash
neo_wdl
neofresh
new-green-natural-living-ngnl
newsport
newspress
newsworld
newsworld-1.0.0
nomadic
nomadic
Nova
object
OnTheGo
openair
optimize
OptimizePress
oqey-gallery
oschrome
overeasy
papercut
pearlie
PersonalPress
photoracer
photoracer
pico
Plugins
Polished
postage-sydney
postcard
post-highlights
premiumnews
premium-violet
probluezine
productum
profitstheme
profitstheme_11
pronto
proudfolio
PureType
Quadro
r755
really-easy-slider
redcarpet
regal
rekt-slideshow
rent-a-car
retreat
royalle
sealight
search-autocomplete
shaan
shadow
shadow-block
simple-but-great
simplenews_premium
SimplePress
simple-red-theme
simple-tabloid
simplewhite
skeptical
slanted
slidette
snapshot
snowblind
snowblind_colbert
sophisticatedfolio
spectrum
sportpress
spotlight
squeezepage
standout
suffusion
swift
techozoic-fluid
the_dark_os
TheCorporation
thejournal
themetiger-fashion
themorningafter
theory
TheProfessional
TheSource
thestation
TheStyle
the-theme
thick
thrillingtheme
tm-theme
totallyred
travelogue-theme
true-blue-theme
ttnews-theme
tune-library
tweet-old-post
twittplus
typebased
typographywp
ugly
unity
user-avatar
versitility
verve-meta-boxes
vibefolio-teaser-10
vibrantcms
vina
vk-gallery
whitemag
Widescreen
wootube
wpapi
wp-audio-gallery-playlist
wpbus-d4
wp-creativix
wp-marketplace
wp-newsmagazine
wp-perfect
wp-premium-orange
xiando-one
yolink-search
zcool-like
解決的方法
很簡單!只要去 http://code.google.com/p/timthumb/ 下載最新版的 TimThumb.php 覆蓋你版型裡面的檔案就可以了。
但是幾百個版型請你不要問我 TimThumb.php 在哪裡,那是你要自己找的,我不可能幫你找,除非你願意付費。
另外你也可以安裝 Timthumb Vulnerability Scanner 這個外掛來檢查是不是有這邊漏列的版型以及外掛。
新的可疑警報
近日又有人在我網站想要撈我介紹過的 atahualpa 這個版型,原因不明!請有使用這個版型的要提高警覺了!
Dear 高先生:
很感激您開設這個網站為網友解難!筆者眼下有難,請幫幫忙,也因無處post這封SOS,只好就借這里寄給你,請理解、請原諒!
筆者的困擾與問題如下:
近一年來,筆者的loptop常常突然被shut down 而且一開機就又當掉or無法進入safe mode,所以只好重裝(灌)。每次重裝之後還好,但十幾天後相同的癥狀又出現,弄得筆者很是困擾!!剛開始時,筆者以為是 Microsoft Security Essentials有問題,因為它是off line在運行,也就是沒有on line 的protection,所以病毒得以入侵,於是換成McAfee(ATT 提供的),但同樣的問題還是存在。雖然時時用MRT and McAfee scan卻並沒有發現毒,但筆者從此便成為驚弓之鳥,很多以前去的網站都不去了,而且也因此成了您的文章的忠實讀者。
約三個星期前,發現mouse 很不好使(USB連接的),就換了一個圓形插口的,加上不敢去有疑的網站,故一切顯得好像無事了有一個星期了吧?!
但就在昨天,才發現真正的問題可能來自那個“不好使的mouse“。 昨天從親戚家裡拿了一台loptop-windows XP,這位親戚幾年沒用了,只是定期update this computer而已。
拿回來後插的就是那個“不好使的USB mouse“,卻根本無法用,於是改用touch pad,又因筆者從未用過touch pad,只好重新插上那個“不好使的USB mouse“,還不到幾分鐘,電腦便被shut down了,而且開機就down、開機就down完全無法進入f8,試了幾次都不行,只好投降!!
打電話問親戚,人家說用得好好的,為甚麼你一用就壞?筆者問用的甚麼mouse,結果人家從不用mouse,只用 touch pad。
因您的文章有談到USB drive中毒的問題,又回想若干個月的當機經歷:
A: 很多網站都不再去了(有一次是台灣的Yam的一個音樂blog,當時想,Yam 應該還好吧?可才聽了幾分鐘就當掉了!)
B:這位親戚的電腦還沒來得及上網,除了插了個mouse外,甚麼都沒做,
也給當掉了(前後十幾分鐘而已)
C:用McAfee scan僅有的兩個USB drive 也沒有中毒
結論:應該是這個 USB mouse在做祟!這個mouse是電腦的原始配件,以前好好的,連續幾次的當機,它也就當掉了,並成了病毒攜帶者及傳染源。(筆者的淺見是,既然USB這個、 USB那個都有毒,那 USB mouse也脫不了嫌疑!)
為這事,整個晚上都沒法睡好,一大早這就給您去信,求您幫幫忙:
問題一:
USB mouse 會像USB drive 一樣傳播病毒嗎?電腦上的那些USB插口會不會染上毒?
問題二:在Regedit and Windows / system 32 等folder里, 怎樣才能找到像mouse、 key board 以及control panel 里的諸多附件的drivers or 與之有關的軟件的location?
問題三:怎樣消毒這些中毒的附件?尤其是用USB連接的,就像筆者的這個mouse?
問題四:如果連Boot up from CD 都不行的話,該怎麼做?(筆者有一次正在重裝時居然被shut down了,真的很可怕!!)現在想辦法救親戚的那台loptop呢,請
給個好點子。
問題五:
請問高先生有沒有文章是針對windows folder、system32 and Registry 寫的?
請高先生百忙中回復為盼!
你的問題是硬體故障,中毒的現象不是這樣子,送修吧!
另外 USB mouse 不會傳染病毒,現在不可能以後也不可能,因為沒有地方讓病毒將資料存入,相同的大部份沒有儲存功能的 USB 裝置也是一樣
很感謝高先生的回復!
仍有幾個疑問:
“你的問題是硬體故障,中毒的現象不是這樣子“ --那麼,親戚那台電腦當機,也是因為硬體有問題嗎?
順便告訴高先生,因那台電腦幾次開機都當掉了,就拔掉那個mouse,也不再碰那台機器。可第二天開機時,一切又恢復正常了,當然是在沒有那個mouse的情況下。
筆者的電腦也是這樣,當掉的當時是無論如何都無法開機、或無法進入f8 或無法Boot up from CD。但放一陣子(幾個小時以後或一個晚上),又可以進入f8或者可以Boot up from CD;有時甚至可以恢復原狀,好似沒事一樣。
請問這是硬體有問題的症狀嗎?
另外 USB mouse 不會傳染病毒--也就是說這個mouse本身有問題,換一個新的就行了?
曾讀到一位網友的留言,說是感謝高先生在某篇文章上談到怎麼在system 32裡找有毒的files(記不得原話了),請問高先生那是哪篇文章?
那個 mouse 可能有問題,要找文章請善用右上角的搜尋,謝謝 !
還好我現在的版型是沒有的XD
高先生敬啟:
遲遲沒有回高先生的信,是由於筆者的電腦徹底玩完,而另一台電腦又不能上網(花了幾天時間跟ATT的technician們打交道,結論是那台電腦有問題,跟ATT 的DSL沒有關係)
所以還請高先生多多原諒!
這裡再向高先生請教一個問題:
筆者將一台 DELL 的手提電腦 (Windows XP Professional English)格式化後,可不可以將Compaq Windows Home Edition (也是for手提電腦的,而且是中文版的) 裝在那台DELL 電腦上?換言之:各種不同的operating system(如windows xp等等software,是可以互換安裝在不同公司生產的電腦(hardware)上嗎? )
請再一次原諒筆者沒能及時回信,也請高先生能理解筆者的難處而提這些問題。
祝高先生健康長壽
可以裝,但是會不合法,因為那些軟體的版權都是跟著硬體走的
很感謝高先生的回復!
提出上面的問題,是因為筆者的電腦不能用了,親戚那台的Professional English 的連網又有問題,才想出這個折衷的方案,這樣至少還可以有台電腦用用。
再次感謝高先生提供這個平台,為筆者這類電腦盲解難!
God bless you and your family!