Timthumb文件导致博客安全漏洞解决办法

前段时间网上爆出Timthumb.php文件导致博客安全漏洞,黑客通过虚假二级或三级域名通过timthumb攻击服务器,在使用的主题文件中如果有 timthumb.php文件提取图片的朋友,请马上更新文件或采取其他补救措施:

  1. 升级Timthumb到最新版本:http://code.google.com/p/timthumb/source/browse/trunk/timthumb.php
  2. 打开Timthumb.php文件,找到代码:
    $allowedSites = array (
    'flickr.com',
    'picasa.com',
    'img.youtube.com',
    'upload.wikimedia.org',
    );
    

    删除里面的域名或直接改为以下代码:

    $allowedSites = array ();
  3. 强烈建议删除空间里所有的文件,全新安装博客程序,之后上传新的主题文件,别忘了使用最新修改的timthumb.php
  4. 为了保证数据库的安全,请使用wordpress后台自带的导出网站内容,直接清理mysql数据库,在新博客后台导入自己导出的博客内容,而不要直接恢复数据库。

在使用我所设计的主题的用户,如果使用的主题中出现timthumb.php,请及时按此教程修复或停用主题,以免造成不必要的损失。

不过使用图片外链的就不能正常显示了,本地图片不受影响。

落花生

认准了方向,就要勇敢地走下去,十年磨一剑,我相信,只要坚持,一切都有可能。

相关日志

  1. 没有图片

    2009.10.05

    基于Google Search的关键词工具

    Google工具直接根据Google搜索结果…

  2. 2013.09.12

    WordPress 3.6.1 发布,大大提升安全性能

    今天李思章博客升级到 WordPress 3…

  3. 没有图片

    2011.12.10

    Discuz!X2防CC攻击的设置方法

    用Discuz!X2建设论坛的网站不计其数,…

  4. 没有图片

    2009.11.23

    百度文档分享平台上线

    逛了一圈,发现百度新上线了百度文档分享平台,…

  5. 没有图片

    2011.05.03

    25个黑色调网站 激发你的创造力

    我们都喜欢漂亮的网站设计样式,我对黑色调的网…

  6. 没有图片

    2009.07.09

    国外优秀开源PHP建站系统对比分析

    开源(Open Source,开放源码)被非…

评论

  1. arvixe 2011.10.24 11:03下午

    是WORDPRESS吗?

    • 落花生 2011.10.26 11:51上午

      一般是在WordPress用得多,但其他PHP脚本的代码也可以使用的。

  2. 倡萌 2011.10.24 6:37下午

    还好我主题没有这个

  3. Louis Han 2011.10.24 12:52下午

    如果用外链图片的话 就搞不定了

    • 落花生 2011.10.24 1:39下午

      嗯,是的,这个我忘了提醒了。我补充到日志里