Eigentlich wollte ich das ja schon vor ein paar Tagen schreiben, aber manchmal fehlt einem einfach die Zeit & Muße. Einige WordPress-Themen verwenden eine verwundbare timthumb-Funktion. Darüber ist ein Angriff auf die Webseite möglich ! Dumm nur das einige Themen die Funktion in der thumb.php bereitstellen (und daher die suche nach timthumb.php ins Leere Laufen).
Das beliebte Mainstream-Thema nutzt zum Beispiel diese thumb.php !
Wer sich jetzt wundert, das sein Mailserver massenweise Spam versendet sollte mal ein Blick in sein Log werfen.
Solltet Ihr das solche Einträge finden, wurde eure Webseite schon gehackt !
92.134.105.203 - - [12/Aug/2011:18:56:23 +0200] "POST /wp-content/themes/mainstream/sm3.php HTTP/1.1" 200 34 "-" "-"
62.109.1.95 - - [12/Aug/2011:18:58:47 +0200] "POST /wp-content/themes/mainstream/wp.php HTTP/1.1" 200 291
Als erstes solltet Ihr den Apache als auch den SMTP-Server anhalten !
Jetzt solltet ihr am besten eine saubere Sicherung einspielen oder eure Installation nach Manipulationen durchsuchen und säubern.
Dazu, alle suspekten Dateien löschen (wp.php & sm3.php) und vor allem die thumb.php gegen eine berichtigte von http://timthumb.googlecode.com/svn/trunk/timthumb.php ersetzten !
Wer das Mainstream-Theme von Woo nutzt sollte gleich die aktuelle Version von Woo-Themes downloaden und installieren. Hier ist schon die thumb.php gefixt !
Vermutlich ist auch noch die .htaccess manipuliert worden, auf jeden Fall bitte prüfen. (eine Größe von ca. 4kb ist ein todsicheres Anzeichen dafür)
Wer nicht sicher ist, welche Daten manipuliert worden sind sollte auf jeden Fall „Alles“ neu aufsetzten !
Ich hatte noch weitere Dateien in meiner WP-Installation, die dort nicht hin gehörten. z.B. eine p.php