Seu wordpress pode estar sendo hackeado pelo Superuperdomain: TimThumb e PHP Remote View Hack

Usuários do WordPress que têm em seu blog scripts do tipo “TimThumb”, estão com problemas. APENAS usuários do WordPress.org ou websites que usam TimThumb estão correndo este risco, caso você use outra plataforma não se preocupe. Antes de todos entrarem em pânico vamos aprender o que é um PHP Remote View Hack, o que é TimThumb e como eliminar o problema em seu blog.

OBS.: Se você esta com problemas para abrir seu Feed no navegador ou pelo FeedBurner, você pode estar sendo prejudicado por este Hack.

✅ Canal no Youtube | Inscreva-se AGORA ✅

O que é um PHP Remote View Hack?

Em resumo: É uma forma de acessar os arquivos do diretório de seu blog, através de scripts em PHP. Alguém mal intencionado pode usar disso para ter acesso total aos seus arquivos.

Você normalmente não corre este risco, porém alguns outros scripts programados de forma incorreta, podem apresentar vulnerabilidades para que alguém aplique um PHP Remote View Hack em seu blog.

O que é TimThumb e para que serve?

TimThumb é um script muito famoso entre os desenvolvedores de temas em WordPress. Foi usado em larga escala em um passado próximo para criar miniaturas de imagens.

Ele trabalha pegando a imagem pelo seu link e redimensiona ela por PHP, sendo possível upar uma imagem enorme e recortar em um quadrado pequeno, sem sofrer deformidades e reduzindo seu peso.

Porém você perdia, as vezes (apenas nos casos de blogs que usavam várias imagens que usava o script numa mesma página), com isso em desempenho, pois toda vez que alguém carregava a página era necessário o script verificar se existiam imagens já redimensionadas no cache do script.

O TimThumb vem sendo deixado de lado por todos os desenvolvedores, até mesmo grandes sites que vendem temas, estão deixando de usar ele, para usar o recurso nátivo do WordPress chamado Posts Thumbnails.

Miniatura do post do WordPress 2.9 – Post Thumbnails

Você com certeza pode estar usando um tema, seja ele do WooThemes, Elegant Themes ou qualquer outro site que disponibiliza ou vende layouts prontos para WordPress ou até mesmo algum plugin que usa o TimThumb (vários plugins também usam o script, principalmente plugins para posts relacionados com imagens).

Que blogs estão sendo afetados por este PHP Remote View Hack?

Apenas blogs que usam versões desatualizadas do TimThumb.

Você pode conseguir uma versão atualizada do script através de seu repositório oficial: http://code.google.com/p/timthumb/.

As últimas versões do script não apresentaram até o momento esta vulnerabilidade, porém não se sabe ao certo quais versões anteriores estão causando isso.

Em especial o plugin IGIT Related Posts With Thumb Image After Posts é o maior propagador desta baixa na segurança, ele usa uma versão não atualiza do TimThumb.

Como descobrir se meu blog foi vitima do PHP Remote View Hack?

Para descobrir é fácil, basta visualizar o código fonte da homepage de seu blog ou de seu Feed (o hack tem causado problema em Feeds, fazendo com que os mesmo não abram pelo FeedBurner).

NÃO é para visualizar pelo editor de tema do WordPress e sim no seu blog mesmo, em sua homepage, clicando Ctrl + U.

Uma nova janela irá aparecer em seu navegador, nela você deve ir até o final da página, onde será possível encontrar o script que causa isso, será algo similar a este:

Ele sempre aparece no final do seu código fonte nas suas páginas e no seu Feed.

Pode ser superuperdomain.com ou superuperdomain2.com.

Caso você tenha encontrado qualquer um destes endereços em seu código significa que seu blog esta infectado.

Solução para o problema do PHP Remote View Hack:

Assim que for detectado o problema, atualize seu TimThumb, pois com certeza seu tema não irá funcionar corretamente sem ele.

Você pode descobrir o caminho do arquivo verificando seu tema pelo código fonte, para isso basta clicar novamente Ctrl + U e localizar alguma miniatura do seu blog, você verá o caminho com algo similar a isto:

Como eu disse, é algo similar, porém isso irá lhe informar onde esta o timthumb em seu tema. No exemplo é no caminho: wp-content/themes/NOME-DO-TEMA/inc/timthumb.php.

Basta agora acessar seu site via FTP e substituir o timthumb.php por uma versão mais atualizada.

Atenção: em alguns temas o nome dele pode estar apenas como thumb.php.

Caso você esteja usando o plugin IGIT Related Posts With Thumb Image After Posts, recomendo que você delete ele ou qualquer outro plugin que use o TimThumb. Pois é mais fácil encontrar um outro plugin para substituir a função.

Depois de eliminado o script defeituoso é necessário retirar os arquivos que o Hack inseriu em seu blog.

Utilizando um cliente FTP de sua preferência, encontre arquivo index.php que se encontra na raiz(na pasta de instalação do WordPress) de seu blog.

Abraça ele usando algum editor de texto, como por exemplo o Bloco de Notas do Windows mesmo.

Depois de aberto localize a seguinte linha de código:

Aqui mais uma vez pode variar de superpuperdomain.com para superpuperdomain2.com, o importante é deletar esta linha IMEDIATAMENTE.

Depois de deletado, salve o arquivo e envie de novo para o seu WordPress e ainda com o cliente FTP aberto procure e delete os seguintes arquivos:

/wp-admin/js/config.php
/wp-admin/common.php
/wp-admin/udp.php
/wp-content/udp.php
/wp-content/uploads/feed-file.php
/wp-content/uploads/feed-files.php

Os dois últimos podem não estar aparecendo em seu blog, porém tenho certeza que os quatro primeiros você irá encontrar se foi vítima do ataque.

Recomendo que você delete eles assim que encontrar, pois estes arquivos não são do WordPress e sim gerados pelo Hack.

Também recomendo que vocês não tentem baixar nenhum destes arquivos listados, eu mesmo tentei baixar aqui e meu anti-vírus já me notificou que algo estava errado.

Depois de deletado o problema estará resolvido e agora basta você limpar o cache de seu blog e verificar novamente na homepage e no Feed o código fonte para ver se o problema foi mesmo solucionado.

Aumente a segurança e previna se contra o PHP Remote View Hack:

Depois de feito a limpeza em seu blog, recomendo que você troque suas senhas, FTP, login de seu blog e etc.

E recomendado também que você modifique o arquivo .htaccess que fica na raiz da instalação do seu blog, por FTP faça o download dele e abra no bloco de notas, acrescente as seguintes linhas no final dele:

Isso faz com que seja bloqueado endereço e o IP de onde o Hack esta sendo enviado seja bloquado.

Você também pode acrescentar as seguintes linhas em seu .htaccess para garantir mais segurança:

Depois de feito isso, salve o arquivo e envie ele de novo para seu blog.

Fonte em inglês: TechSpheria – PHPRemoteView Hack: What it is, and how to remove it.

11 Comentários

Bruno Dias em 15 de agosto de 2011 às 14:38

Caramba, belo tuto explicando o que é e como remover.

Responder
Gustavo Marttos em 15 de agosto de 2011 às 14:42

Infelizmente meu blog estava sendo “hackeado”… Li o código-fonte e vi a linha.

Deletei todos os arquivos e até tentei baixar os arquivos, mas o meu antí-virus barrou!

Obrigado por esta excelente dica, Claudio!

Responder
- Claudio Sanches em 15 de agosto de 2011 às 15:14
  
  Sim pega como vírus.
  Eu consegui abri aqui o script para ler.
  Porém anti vírus ficou louco.
  
  Maior problema é que isso pode causar bastante transtorno no Ferramentas Para Webmaster, quando é detectado vírus em website você pode ser penalizado.
  
  Responder
Eder em 15 de agosto de 2011 às 20:11

Cara, hoje meu antivirus pegou algo de errado, então fui verificar e constatei que era o tal hack. Suas dicas foram fundamentais que que eu resolvesse o problema. Muito obrigado!

Responder
Gustavo Soares Guerra em 15 de agosto de 2011 às 22:37

Excelente artigo Claudio, tenho o Timthumb no meu template do WordPress e quase morri de susto, mas não fui infectado e já adicionei os códigos que você mostrou para me prevenir.
Valeu!

Responder
- Claudio Sanches em 16 de agosto de 2011 às 11:22
  
  As novas versões não correm esse risco, se você atualizar esta tudo ok.
  Publiquei esse post exatamente por causa disso, tem várias pessoas que usam temas gratuitos ou até pagos de sites gringos, todos os temas deles que tem resumo automático de post, usam TimThumb.
  Era praticamente obrigatório usar antes, até o WP lançar essas novas ferramentas para recortar as imagens.
  
  Responder
Ronaldo em 31 de agosto de 2011 às 13:46

Alguns blogs meus foram infectados e o meu servidor bluehost me enviou um e-mail sobre isto. Liguei para o meu servidor e por enquanto eu não posso acessar os meus blogs e nem mesmo acessar o meu servidor ainda pois eles estão reparando. Só daqui uma hora poderei acessar novamente.
Gostaria de agradecer as explicações. Assim que o meu servidor liberar farei as modificações necessárias. O servidor meu enviou duas patches:
/home2/webinte4/public_html/wpteste/wp-content/themes/OptimizePress/timthumb.php
/home2/webinte4/public_html/wp-content/themes/Karma/timthumb.php

As duas estão relacionadas as themes.

Obrigado

Ronaldo

Responder
Ronaldo em 31 de agosto de 2011 às 17:15

Oi Cláudio!

My servidor já liberou os meus sites. Assim que eles liberarm, eu deletei as duas themes que estavam com este problema. Eu fiz o download como vc falou do .htaccess e quando o abri, estava o mesmo codigo que vc mencionou aqui para garantir a segurança. Vc acha que preciso fazer mais alguma coisa?

OBrigado

Responder
- Claudio Sanches em 31 de agosto de 2011 às 19:05
  
  O código no .htaccess é só para garantir que não seja hackeado novamente por esses domínios. Agora deve estar tudo ok.
  Procure pelos arquivos que citei no post, se não encontrar eles, não precisa mais se preocupar com nada.
  Se for usar algo com TimThumb aconselho usar com a versão atualizada.
  
  Responder
Dicasde em 10 de agosto de 2012 às 14:53

Existe alguma “lista de plugins” que usam a versão antiga do TimThumb??

Responder
Fabrício Lucas em 12 de março de 2013 às 21:27

Bem interessante, mas para quem SABE blogar o thimtumb é um aliado e não afeta tanto o desempenho 😀

Responder

Deixe um comentário Cancelar resposta

Ao comentar você concorda com nossa Política de Comentários.