Timthumb文件导致博客安全漏洞解决办法

前段时间网上爆出Timthumb.php文件导致博客安全漏洞,黑客通过虚假二级或三级域名通过timthumb攻击服务器,在使用的主题文件中如果有 timthumb.php文件提取图片的朋友,请马上更新文件或采取其他补救措施:

  1. 升级Timthumb到最新版本:http://code.google.com/p/timthumb/source/browse/trunk/timthumb.php
  2. 打开Timthumb.php文件,找到代码:
    $allowedSites = array (
    'flickr.com',
    'picasa.com',
    'img.youtube.com',
    'upload.wikimedia.org',
    );
    

    删除里面的域名或直接改为以下代码:

    $allowedSites = array ();
  3. 强烈建议删除空间里所有的文件,全新安装博客程序,之后上传新的主题文件,别忘了使用最新修改的timthumb.php
  4. 为了保证数据库的安全,请使用wordpress后台自带的导出网站内容,直接清理mysql数据库,在新博客后台导入自己导出的博客内容,而不要直接恢复数据库。

在使用我所设计的主题的用户,如果使用的主题中出现timthumb.php,请及时按此教程修复或停用主题,以免造成不必要的损失。

不过使用图片外链的就不能正常显示了,本地图片不受影响。

落花生

认准了方向,就要勇敢地走下去,十年磨一剑,我相信,只要坚持,一切都有可能。

相关日志

  1. 2013.10.30

    博客升级到 WordPress 3.7.1

    才升级到WordPress 3.7正式版没几…

  2. 没有图片

    2009.12.15

    WordPress插件CommentLuv:让你的博客评论也热闹

    很早就想为大家写这篇文章,只是因为时间太紧,…

  3. 没有图片

    2009.10.18

    Firefox链接预览插件 CoolPreviews

    就像Wordpress代码一样,Firefo…

  4. 没有图片

    2010.09.15

    伟大的Akismet遇上了伟大的GFW

    今天进博客后台,想发表一篇与教育有关的文章来…

  5. 没有图片

    2010.02.05

    设计师必备的网页素材在线生成器

    背景生成器 我们都知道,背景设置在设计中起着…

  6. 没有图片

    2013.12.29

    Debian系统下用 vsftpd 配置FTP服务完整教程

    Debian系统下用vsftpd配置FTP服…

评论

  1. arvixe 2011.10.24 11:03下午

    是WORDPRESS吗?

    • 落花生 2011.10.26 11:51上午

      一般是在WordPress用得多,但其他PHP脚本的代码也可以使用的。

  2. 倡萌 2011.10.24 6:37下午

    还好我主题没有这个

  3. Louis Han 2011.10.24 12:52下午

    如果用外链图片的话 就搞不定了

    • 落花生 2011.10.24 1:39下午

      嗯,是的,这个我忘了提醒了。我补充到日志里

About

马拉松运动员,沉迷于跑步;关注科技前沿,关注互联网!与跑者、程序员、设计师为伍,一起跑步健身,一起编写程序,为自由而战!