Väldigt många WordPress-installationer har blivit hackade och länkar idag, utan att ägarna vet om det, till Viagra-försäljning och framför allt till andra sajter som har blivit hackade och som i sin tur fungerar som Viagra-återförsäljare. Hacket är relativt elegant utformat och har på sistone utvecklats vidare för att bli allt svårare för sajtägarna att upptäcka, samtidigt som det gör alltmer nytta för de svarthattar som tjänar pengar på det.
Vill du se om din sajt är drabbad? Sök då på Google efter
site:dindomän.se viagra|cialis|levitra
Byt ut dindomän.se mot din egen domän. Om du inte får några resultat kan du istället gotta dig åt alla andra som har drabbats av hacket genom att istället googla på
site:.se online viagra|cialis|levitra wordpress
När man hittar en välkänd sajt, som unt.se, egenblogg.se, uplandsnation.se eller varför inte mpbloggar.se kan man göra sökningen mer specifik och bara titta på den domänen. Här en sökning på mpbloggar.se, en av de drabbade sajterna:
site:mpbloggar.se viagra|cialis|levitra
Effekten av sökningen ovan är slående för hur det här hacket fungerar. Den som går direkt in på någon av de drabbade bloggarna märker ingenting alls. Bloggarna på mpbloggar.se ser ut som vanligt, utan några som helst tecken på att det finns några länkar på den. Den som går direkt in på t.ex. riksdagsgrupp.mpbloggar.se märker alltså ingenting eftersom sajten ser ut, och fungerar precis som vanligt:
riksdagsgrupp.mpbloggar.se utan Viagra-spam
Om man däremot tittar på hur Google ser sidorna på sajten, genom att titta på Googles cachade version av en sida, så ser sajten helt annorlunda ut. Namnet på bloggen har ändrats, liksom alla kategorilänkar:
Skulle däremot, någon sida från en hackad sajt (och det finns otroligt många fler än bara mpbloggar.se, den här sökningen hittar skrämmande många), så skickas besökaren direkt till North American Pharmacy, men fortfarande under den ursprungliga domänen. Så här ser det ut:
Dessutom (tack @anderseriksson ) visar det sig att AVG hindrar användare från att gå in på sidor från mpbloggar.se som är drabbade av det här hacket.
Så vad har hänt här då? Det vet jag faktiskt inte ännu eftersom jag inte har haft möjlighet att titta på just den här sajten. Men högst troligen har sajten hackats genom en svaghet i något plugin eller funktion som används i sajtens tema. Det är inte helt otroligt att det är timthumb som är den ursprungliga svagheten här. Men det behöver inte vara så.
Jag har alltså ännu inte kommit åt att se hur exakt den här versionen av hacket fungerar, men jag fick för några veckor sedan möjlighet att studera en tidigare version av hacket. Då lades länkar till innan innehållet på sidan, och igår såg jag ännu en variant, som inte hade ändrat kategorinamn och blogg-title, utan bara hade lagt till länkar i bloggfoten.
Den gången hade hacket gått in och modifierat en rad i filen /wp-includes/general-template.php och sagt åt WP-installationen att ladda in en fil med det oskyldiga och mycket troliga namnet wp-image.php som skulle ligga i samma katalog. Den filen är, i sin tur, base64-kodad, och är den som kollar huruvida det är en vanlig besökare eller Google som kommer på besök och därefter förändrar innehållet på sajten.
Den gången åtgärdade jag problemet helt enkelt genom att kommentera bort den raden där wp-image.php laddades in, och sedan ordnade det hela upp sig själv på en vecka.
Förhoppningsvis kommer det vara lika lätt för Miljöpartiet att åtgärda detta. Jag skulle dels leta efter filer som har modifierats vid någon udda tidpunkt, desl leta efter om något plugin, eller själva temat använder en gammal version av timthumb.php, som tyvärr, i de allra flesta fall verkar vara upphovet till hela den här hackvågen.
Just på sajten ovan fanns ett plugin som inte ens användes, som heter IGIT Related Post With Thumb och som inkluderade en gammal opatchad version av timthumb.php, som nästan alltid verkar vara upphovet till det onda.
Tyvärr räcker det oftast inte med att bara ta bort de pluggar som använder timthumb.php eftersom de som utnyttjar svagheten, mycket väl kan ha lagt upp liknande funktionalitet, under andra namn, på helt andra ställen på sajten. Den som vill säkra upp ordentligt bör därför se till att ta bort alla plugins som inte anvvänds, manuellt byta ut alla filer och kataloger i sin wp-content, och sedan byta ut hela WP-installationen separat.
Om du vill förstå mer om hur timthumb.php kan ha åstadkommit så mycket skada så ger den här bloggposten en ganska bra beskrivning.
Om du vill scanna av dina bloggar efter förekomster av timthumb.php rekommenderar jag att du installerar ett plugin som heter Timthumb Vulnerability Scanner och som letar igenom din sajt efter just denna svaghet, även i filer som kan ha helt andra namn. Jag själv hittade, i gamla versioner av Thesis (som nu är bortplockade från sajten) och i temat Artemia som jag mig veterligen aldrig har använt på någon sajt, timthumb-funktionalitet som ligger i filer med helt andra namn.
Med blygselns rodnad på kinderna och i transparensens namn… Här låg de:
Jag har under natten mot söndag och söndagsförmiddagen försökt nå någon på Miljöpartiet, men utan resultat. Det är ju inte så vansinnigt svårt att bli av med detta. Jag hjälper gärna till, men vill framförallt ge Miljöpartiet och andra som använder WordPress rådet att börja scanna av sina WP-installationer bättre och hänga med i säkerhetsnyheterna kring WordPress.
För trots detta, är WordPress fortfarande min favoritplattform. Det krävs dock, liksom med alla andra CMS, att man håller koll på sin sajt, och håller den uppdaterad. Ett extra gott råd i sammahanget är att ta bort teman och plugins som inte används.
Jag har alltså hittat timthumb.php i två teman och en plugin nu på förmiddagen. Om du hittar svagheten i andra pluggar och teman, tipsa gärna andra i kommentarsfunktionen här nedan.
Uppdatering: Jag har under måndagen haft kontakt med Johan Schiff på Miljöpartiet som har följt instruktionerna i den här bloggposten och framför allt i Björn Alsborgers kommentar, och nu verkar ha rensat ut i WordPress-installationen på mpbloggar.se. Nu gäller det bara att Google snabbt re-indexerar sidorna.
Se även:
WordPress-sajter hackade med TimThumb
How to protect your WordPress site as hackers exploit TimThumb security hole
You shouldn’t run too many plugins, and here’s why
