Seit neuestem ist ein Exploit aufgetaucht, der einen Fehler der oft in WordPress Themes eingesetzten Bildbearbeitungs-Datei timthumb.php ausnutzt, um Schadcode auf die betroffenen Blogs zu schieben und auszuführen. Oft ist dann ein Link im Footer-Quelltext der betroffenen Seite zu finden. Es wird dringend jedem WordPress Blog Benutzer geraten, die timthumb.php auf den neuesten Stand zu bringen, um diese Sicherheitslücke schnellstmöglich zu schließen.
Das Script lädt einen Link zu einer Spam Seite im Footer Bereich der Website, kontrollieren Sie also bitte beim Aufruf Ihrer Seite, ob seltsame Verbindungen zustande kommen. Weiterhin hinterlässt das Script ein File, genannt upd.php im Root Verzeichnis der Templates oder auch im Template Ordner selbst. Zusätzlich hat es auf einigen Installationen die jQuery.js Datei befallen, so dass sich immer wieder das Script neu installieren kann. Prüfen Sie auch hier, ob nach dem jQuery Code base64 codierte Zeichen in dieser Datei auftauchen, dies oft verbunden mit einigen Leerzeilen nach dem eigentlichen jQuery Script.
Ebenfalls kann es sein, dass im Header Bereich des Quellcodes bereits ein Aufruf zu einer dubiosen Quelle ausgeführt wird.
Eine befallene Installation kann nicht mehr als sicher gelten, am Besten wäre es also, das gesamte Template zu löschen und mit der geupdateten TimThumb Datei neu aufzuspielen.
Den Download der aktuellen timthumb.php Datei finden Sie her: Download TimThumb WordPress Sicherheitsupdate. Eine Liste ( keineswegs vollständig ) betroffener WordPress Themes finden Sie hier: TimThumb Sicherheitslücke – Liste betroffener WordPress Themes
