網站被駭紀錄 出來混的總是會碰到 這篇就紀錄下來給大家參考吧 可能為Timthumb程式漏洞

這幾天~ 要對大家說聲抱歉了~

溫厝的543部落格被不知道那裡的”老鼠洞“硬是被塞進一段惡意程式

更麻煩的是,Wordpress程式全都換過~ 外掛都停掉~

連Theme也都關掉,只剩下WP內建原始的~ 但還是這個洞沒能找到~

還在請朋友也協助查看~ 不過看來不是一兩天能夠搞定的樣子~

只能說…. 溫厝的朋友~ 要跟大家說個抱歉~

這幾天還是別來溫厝走走了~ 唉…

出來混的總是會遇到這種網路流氓~  連這Blog系統都會遇到~

我只能安慰一下自己~ 這…. 我算是有點名氣了嗎? 不然幹嘛找上我~ 哈~

很煩~~ 周末本來只想玩大波羅~ 這下整個周末都在找這問題~

煩死了啦~~~~  機車的提姆! 快出面幫忙啦~~~

———————-  2012/07/09 後續記錄

唉… 網站的老鼠洞,還是沒找到~ 7/9 am 6:42又有同樣的問題發生了, 真的很幹~

首先、WP 3.4.1 所有程式,我已經在7/8使用FTP的方式全部覆蓋過一遍,並且所已有外掛都已經停掉,只剩下三個(如附圖)。

themeg剩下三個(但這部分有非常奇怪的問題,等會描述),一個為WP內建的2011這一個標準(目前部落格使用的也是這一個),一個是舊版本WP內建2010,剩下是購買的e404。

但這次被修改的除了外層 .htaccess檔案,還有已使用的WP模組2011theme 的header.php以及並沒有使用的e404的header.php

這狀況很奇怪,e404theme並沒有啟用,為何還能被修改到?
我接下來會先把e404 刪除,並把被修改的兩個檔案改回,並再次覆蓋一次所有WP程式,只保留2010/2011兩個WP內建theme,再次觀察看看後續。

———————-  2012/07/09 下午的紀錄

真的很糟糕~ 雖然已經把惡意程式碼刪除了,但Google已經把我列入”黑名單“行列~

在他的搜尋結果頁面已經看到下面這樣的警語~

並且你在點擊還會出現更嚇人的~~~

唉…  雖然我已經向 “Google網站管理員工具“提出再審查的消息~

但看來Google審查這的效率…沒有很好喔~~ 好慢~~~  我可是急的不輸給火鍋上的螞蟻~

畢竟還有一些課程上的資料需要提供給學員使用,唉…真怕大家都被那頁面給嚇到啦~~

我算是非常注意安全的人,這次查的結果也很奇怪~ 很有可能是這 timthumb 漏洞 造成的,但我的版本是timthumb的最新版本 2.8.10 卻還是碰到這狀況~~ 真怪~~

後續真的還要多觀察一下~~~

———————-  2012/07/10  紀錄

目前觀察一晚,沒有再出現被修改的狀況,”機車的提姆“忙碌中被我稍擾尋找解決辦法之後,大概、可能、也許….  很心虛的說這可能”補好老鼠洞”了~~~  還要多觀察幾天啦~~~

這邊也分享一下整個解決辦法了~

首先、這次的程式漏洞很有可能是因為先前使用的WP Theme (請見這篇)期中有使用到timthumb.php這隻程式(不熟悉這是什麼的,可以參考 這篇),他利用程式可能的漏洞修改了我的網站中 header.php 以及 .htaccess 這兩個檔案,造成程式中被安插惡意代碼,並且有重導向其他網站的問題出現( 也推薦 這篇 文章參考)。

但讓我覺得比較奇怪的是,timthumb.php原本是因為版本過舊,才有這個後門漏洞,但我的這個版本是目前官方最新的版本,程式碼裡面並沒有前面幾篇文章中的那些程式代碼,但仍然出現同樣的問題! 這是否表示timthumb.php又有新的後門、漏洞了呢?

這也是我上面提到,我擔心的地方~ 不確定性了~

不過、這邊我也另外提供幾個自我檢查的辦法,兩個外部網站、一個WP外掛的自我檢查方式,希望留下一些方法給將來需要的朋友參考了。

1. WP外掛 Timthumb Vulnerability Scanner 安裝後自己檢查一下,看看自己的Wordpress網站是否有用到他的外掛或是Theme表皮。

2. 免費不用安裝程式的  Free Website Malware Scanner 網頁,檢查一下自己的網站,是否有可疑的程式或是被Google列入黑名單檢查。

3. 目前免費 WebsiteDefender 線上掃描WP網站專門的服務,需要在你的網站下放一隻PHP程式,他才能檢查你網站中所有目錄和檔案,算是放最後的大絕招來用啦~

這三個方式我想是我能找到最佳的處理後續收尾方式了,當然~ 前面有個原則!

你要先把問題解決了喔~ 清除  header.php 以及 .htaccess 的被修改狀況,並且把WP程式整個都用官方新版本程式覆蓋過~ 並為確保安全、記得把所有密碼都修改過~ 這部份我就不多說明了~

最後記得再向 “Google網站管理員工具“提出再審查的功能,讓他把你”解禁”! 不然喔~ 唉…

你知道的~ 網站就像商店,沒人來~ 多不好玩~ 哈~

這是目前最新紀錄了~ 若後續還有新發現,再記錄在這一篇了~

最後~ 這位留言的朋友 Maplelight :真的很抱歉啦~ 真是沒想這麼多~ FB粉絲才一點點人~ G+更是少~~~ 所以沒想到用這兩個平台去告知大家~ 下次再發生,我會注意的了~

(想不到有這麼多朋友關注我呢~~ 好感動喔~~~~~ )

———————-  2012/07/11  後續紀錄

幹! 幹! 幹! 先來個連三幹!  本以為溫厝的網站沒事了~ 那就是沒事了~~

結果我另外一台租用的主機,上頭有兩個我架的WP網站,其中一個也出現”一模一樣“的狀況! 而處理的過程裡讓我更加的…. 疑惑不解了~~ 為何呢? 看下去就知道~

首先、這個被竄改的WP網站裡面使用的外掛為下圖

他非常非常的簡單ㄟ~~ 另外、他所使用的Theme表皮更是單純、簡單~

只用到內建的,並且什麼怪功能都沒有附加過~

但還是出現了這….

被插入惡意程式碼的問題~

這次我還特別記下他竄改的順序:

1. .htaccess 先被加入 #3284d# 的程式碼 4秒後

2. 2011(未啟用的theme) header.php 也被加入 再4秒後

3. 2010 目前使用theme 的 header.php 也被加入

而由於這次有記錄下時間點,再反應給代管ISP,根據他的回覆是我主機的FTP帳號密碼被盜用,LOG記錄是以FTP的方式先downloaded .htaccess檔案,然後又uploaded,其他兩個header.php也同樣的手法~

這就更讓我不解了~ 首先、可以不用擔心我使用的這台電腦~ 保證是”無毒、乾淨“狀態(不然就不用玩啦)! 而我設定的主機帳號密碼也不是那麼…簡單的字串,字典攻擊應該也不會有這樣的字詞,另外、若真是使用FTP的上傳方式,為何災情只有這麼簡單呢?

會如同”提姆”說的~ 人家只是為了告訴你,你的網站被我駭了! 這麼簡單!?

好吧~ 為了能確保這問題的後續,我把FTP密碼改成”不是人能記住“的那種玩意~ 亂數加符號~ 並將所有的帳號密碼都改掉~  再來等待看看吧~

另外、根據這  #3284d#  惡意程式碼的特徵,我看到這兩篇網頁,有點相關、但又… 不是很能確定原因的資料,收集在這分享給大家看看、參考吧~

Twentyten header and twentyeleven header seen as a problem

這是WP官網的一篇發言,看來和我的狀況相同,但回覆的方式是標準處理被駭解決方案,並沒有提到問題的發生原因。

The #c3284d# Malware Network – Stats.php

這篇則是一個安全觀察網站公布的資訊,但其中說到的是使用Plesk Panel主機控制介面的需要擔心,我用的那家後台是Cpanel,似乎又沒有關聯~~~

唉啊~~  又讓我頭疼了啊!!!

又只能…繼續觀查下去了…..唉……

———————-  2012/07/23  暫時的完結篇

過了快兩周,兩個網站都沒再出現前面相同的問題! 難道~~ 真的已經”解”了嗎?

我真的只是碰到一個 “有良心” 的駭客!  這… 該說我這輩子有燒好香嗎?  我…. 還是不能確認這問題到底出在哪個環節~ 不過、如果你有碰到和我一樣的狀況,希望這完整的紀錄能對你解決問題有幫助了~ 記得! 我真的不知道到底現在是不是真的OK都沒問題了~

只能說…目前可以說本篇到這是個”暫時的END”了吧!

後續如果還有什麼變化~ 我會再繼續追蹤他的! 也多謝很多朋友的關心啦~

吳 天元

溫厝的543大家長,平常沒時就愛碎碎唸,標準的阿宅。 平時就愛看電影、研究網路行銷,有時間當然也愛陪伴著家人! 總希望世界和平之外,更希望能看看外星人到底長啥模樣了!

在 “網站被駭紀錄 出來混的總是會碰到 這篇就紀錄下來給大家參考吧 可能為Timthumb程式漏洞” 有 6 則留言

  1. 審查通過了唷
    因為不再出現那個警告了

    但是我有一個問題
    為什麼這消息不發布在FB或G+上呢?
    我昨天就很好奇怎麼回事,但是卻很孬的不敢點進來XD

    試著找有沒有其他人提到
    找到了FB和G+ ,但卻完全沒有提到
    而且G+專業還完全是空的…..這…到底辦來做什麼呢?

    明明知道網站不被信任,也請大家最近不要來543
    但是卻把關鍵文章放在這,太矛盾了啦XD

    最後,我還頗喜歡這網站的一些文章,藝文、地方、旅遊之類的
    希望這次的事件趕快過去囉

  2. 抱歉啦~ 因為一直不敢確認是否真正找到原因了~
    所以本來想今天再做統一的宣告~ 另外就是…. 我FB和G+的朋友還不多~ 哈~
    所以我想搜尋上馬上看到比起在FB和G+上的宣告有用~ 呵呵~
    目前看來都已經確認,應該是找到那個”洞”了~ 晚些我再把相關處理解決辦法分享出來啦~
    抱歉~ 抱歉~ 讓你覺得不方便啦~~~ 多多見諒~

  3. 貌似通过timthumb.php可以上传php文件,通常这文件里带有扫描目录的功能,具体骇客想改哪些文件不确定,有的专门改.htaccess,有的抓着index.php不放。因为他们是通过程序来改,所以不是针对某个网站而是针对他们有权限访问的所有的文件,就像主题文件,不启用的一样会被污染,而且可以作为后门为骇客服务。我被入侵那会也是哦,虽然timthumb.php升级了,密码也都改了,但没过多久还是被入侵,仔细检查发现原来服务器上很多我不怎么用的wp测试站里竟然有后门,有的隐藏在wp核心目录里,是一个单独的文件。
    总之,如果同一服务器上的任何一个网站没清理干净,都可以导致所有的网站再次被感染,我对安全知识了解的不多,被反复入侵了好几次,烦死人了。

  4. 謝謝你的分享~
    不過這次讓我覺得奇怪的地方是,我另一個WP網站根本沒用timthumb.php這個模組
    還是出現這被竄改問題,奇特了吧~
    還再觀察後續狀況,這一兩天看來是沒事了~

  5. 唉呀過了快兩週才又回來看XD

    看來是沒事了,太好啦~*

    然後順便提一下(我好囉唆XD)

    G+ 是一種你沒有內容就不會有人圈你的東西

    所以說雖然我找到了 543 的 G+ 專頁
    但是因為沒有內容,所以我不圈你(欸

    這才是G+ 的邏輯
    只圈我想看的內容(或是對內容沒興趣的我也不會圈)
    那些慢慢的不發訊息的人我也是會從圈裡踢掉的ww

    對了我還有個問題
    目前這個版型是不是有建議使用的瀏覽器?
    我用 Chrome 和 Firefox ,當文字越打越多
    下面的必填資訊和迴響按鈕就被擠到看不見了
    如果我的文字內容超過這個畫面,同樣也會沒有辦法再打
    因為我看不到,要從別的地方打好再複製過來貼上

    於是我試著用了IE,雖然不會有上述的問題,卻發現另一個問題
    就是 “Enter your comment here…” 這行字死都不消失
    打出來的字會和它重疊,就看不清楚了@@

  6. HI~ 溫厝的老朋友~ 真的謝謝你的關心~
    目前我也正在關查,後續還有沒有被駭的可能,暫時是沒事就是~
    目前社交平台真的很多,要真放心思下去維護,也真需要很多的時間,
    G+個人感覺,目前只是重度使用者在玩的平台,所以我只有特別玩個人的部份,部落格的也只是為了測試一些東西先聲請起來,真的沒有用心去維護他,
    還請多見諒了~ 這個部落格本來我的設定就是一個543、網路測試的平台,只是寫著寫著也成為一種日常生活的興趣~
    也認識到很多朋友~ 真的感謝啦~

    WP的主題,目前使用的是內建的原廠這個,我還在找合適自己風格的新模板,很多地方還沒搞好,還是請包容見諒了~
    我知道他是利用”彈性視窗”的原則設計的,會根據平台功能不同、視窗大小不同而給予很多彈性的調整方式,也許是語法上有些不相容的狀況,
    不過我自己試過三個瀏覽器、手機看過,但沒用到留言的這部份就是,過兩天我再來試試看好了~
    看看能不能修正你提到的錯誤部份了~

    再次謝謝你的關心和回饋意見了~

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *