Timthumb文件导致博客安全漏洞解决办法

前段时间网上爆出Timthumb.php文件导致博客安全漏洞,黑客通过虚假二级或三级域名通过timthumb攻击服务器,在使用的主题文件中如果有 timthumb.php文件提取图片的朋友,请马上更新文件或采取其他补救措施:

  1. 升级Timthumb到最新版本:http://code.google.com/p/timthumb/source/browse/trunk/timthumb.php
  2. 打开Timthumb.php文件,找到代码:
    $allowedSites = array (
    'flickr.com',
    'picasa.com',
    'img.youtube.com',
    'upload.wikimedia.org',
    );
    

    删除里面的域名或直接改为以下代码:

    $allowedSites = array ();
  3. 强烈建议删除空间里所有的文件,全新安装博客程序,之后上传新的主题文件,别忘了使用最新修改的timthumb.php
  4. 为了保证数据库的安全,请使用wordpress后台自带的导出网站内容,直接清理mysql数据库,在新博客后台导入自己导出的博客内容,而不要直接恢复数据库。

在使用我所设计的主题的用户,如果使用的主题中出现timthumb.php,请及时按此教程修复或停用主题,以免造成不必要的损失。

不过使用图片外链的就不能正常显示了,本地图片不受影响。

思章老师

认准了方向,就要勇敢地走下去,十年磨一剑,我相信,只要坚持,一切都有可能。

相关日志

  1. 没有图片

    2011.11.16

    MT主机博客在页脚添加MT Logo标志

    大家看到很多在使用MT主机的博客的页脚位置都…

  2. 2013.01.30

    WordPress主题 xColor Pro V1.0

    落花生已经发布了很多主题,每个作品的问世都是…

  3. 没有图片

    2009.10.05

    基于Google Search的关键词工具

    Google工具直接根据Google搜索结果…

  4. 没有图片

    2010.09.27

    OneNote 2010 的功能和优点

    Microsoft OneNote 2010…

  5. 没有图片

    2014.09.03

    如何正确地给固态硬盘分区(转)

    如果您正在使用或者准备购买固态硬盘(SSD)…

  6. 没有图片

    2010.01.17

    Typecho 豪华蓝调主题 Premium Blue 制作完毕

    从羽中的博客中看到他用的代码是Typecho…

评论

  1. arvixe 2011.10.24 11:03下午

    是WORDPRESS吗?

    • 落花生 2011.10.26 11:51上午

      一般是在WordPress用得多,但其他PHP脚本的代码也可以使用的。

  2. 倡萌 2011.10.24 6:37下午

    还好我主题没有这个

  3. Louis Han 2011.10.24 12:52下午

    如果用外链图片的话 就搞不定了

    • 落花生 2011.10.24 1:39下午

      嗯,是的,这个我忘了提醒了。我补充到日志里