Timthumb文件导致博客安全漏洞解决办法

前段时间网上爆出Timthumb.php文件导致博客安全漏洞,黑客通过虚假二级或三级域名通过timthumb攻击服务器,在使用的主题文件中如果有 timthumb.php文件提取图片的朋友,请马上更新文件或采取其他补救措施:

  1. 升级Timthumb到最新版本:http://code.google.com/p/timthumb/source/browse/trunk/timthumb.php
  2. 打开Timthumb.php文件,找到代码:
    $allowedSites = array (
    'flickr.com',
    'picasa.com',
    'img.youtube.com',
    'upload.wikimedia.org',
    );
    

    删除里面的域名或直接改为以下代码:

    $allowedSites = array ();
  3. 强烈建议删除空间里所有的文件,全新安装博客程序,之后上传新的主题文件,别忘了使用最新修改的timthumb.php
  4. 为了保证数据库的安全,请使用wordpress后台自带的导出网站内容,直接清理mysql数据库,在新博客后台导入自己导出的博客内容,而不要直接恢复数据库。

在使用我所设计的主题的用户,如果使用的主题中出现timthumb.php,请及时按此教程修复或停用主题,以免造成不必要的损失。

不过使用图片外链的就不能正常显示了,本地图片不受影响。

落花生

认准了方向,就要勇敢地走下去,十年磨一剑,我相信,只要坚持,一切都有可能。

相关日志

  1. 没有图片

    2013.11.23

    WordPress 3.8 Beta1 发布

    WordPress官方近来的更新太给力了,今…

  2. 没有图片

    2010.04.28

    菠萝筐加入博客联盟周博客排行,大家帮来投一票吧!

    中国博客联盟第一轮周优秀博客排行拉开帷幕了,…

  3. 没有图片

    2009.07.06

    AddThisChina (分享家:收藏&分享按钮) 不错的WordPress 书签插件

    很早就从网上找Wordpress中文版的书签…

  4. 2013.10.25

    WordPress 3.7 Basie 正式版发布

    今天WordPress 3.7 正式版发布了…

  5. 没有图片

    2009.12.08

    DedeCMS 提示信息框美化教程

    因为做站的需要,有时用户投稿之后会跳出来一个…

  6. 没有图片

    2009.07.28

    Pligg CMS Version 1.0.0 正式版+Pligg 汉化包

    Pligg CMS 原来的名字是Pligg …

评论

  1. arvixe 2011.10.24 11:03下午

    是WORDPRESS吗?

    • 落花生 2011.10.26 11:51上午

      一般是在WordPress用得多,但其他PHP脚本的代码也可以使用的。

  2. 倡萌 2011.10.24 6:37下午

    还好我主题没有这个

  3. Louis Han 2011.10.24 12:52下午

    如果用外链图片的话 就搞不定了

    • 落花生 2011.10.24 1:39下午

      嗯,是的,这个我忘了提醒了。我补充到日志里

About

马拉松运动员,沉迷于跑步;关注科技前沿,关注互联网!与跑者、程序员、设计师为伍,一起跑步健身,一起编写程序,为自由而战!