Kerentanan Script Pada timthumb.php Ditemukan

Posted in How To , written by wahya on 09 April 2013

Kemarin kami mengetahui bahwa terdapat celah yang bisa disusupi oleh hacker melalui file timthumb.php, yang sangat populer digunakan untuk melakukan resize image diberbagai website terutama WordPress. Sebenarnya laporan adakanya kelamahan pada timthumb.php versi 1.3 ini sudah dilaporkan pada tahun 2011 lalu pertama kali oleh Mark Maunder dalam posting blog nya yang berjudul Zero Day Vulnerability in many WordPress Themes

Celah yang terdapat pada timthumb.php tersebut mengijinkan penyerang website Anda untuk mengunggah file ke server Anda melalui link external yang diijinkan pada konstanta di file timthumb.php tersebut. Jika file PHP berhasil diunggah ke server, penyerang kemudian melakukan hal – hal yang dia inginkan sesuai keinginannya dengan bebas.

Kami menyarankan Anda untuk menghapus file timthumb.ph atau thumb.php jika website Anda memang bisa bekerja dengan normal  tanpa file tersebut. Namun jika Anda masih menggunakan file tersebut, kami sarankan untuk melakukan update file tersebut.

Jika website Anda memang harus menggunakan timthumb, silahkan download versi terakhir timthumb.php disini. Edit file timthumb.php tersebut dengan melakukan perubahan pada beberapa setting berikut.

Ganti konstanta ALLOW_EXTERNAL yang awalnya bernilai TRUE menjadi FALSE, kemudian carilah variable array dengan nama $allowedSites dan kosongkan isi array yang awalnya beberapa daftar website yang diperbolehkan.

Pastikan bahwa konstanta berikut bernilai FALSE

define( ‘ALLOW_EXTERNAL’, false );

Carilah array dengan nama $allowedSites yang isinya seperti ini

$allowedSites = array (
	'flickr.com',
	'picasa.com',
	'img.youtube.com',
	'upload.wikimedia.org',
);

Menjadi

$allowedSites = array ();

Berdasarkan hasil investigasi pada kasus yang saya temui penyerang berhasil mengunggah file dengan nama 0day.php ke folder /tb/temp/ kemudian melakukan eksekusi terhadap file tersebut untuk kemudian melakukan deface. Penyerang juga menambahkan folder sym dimana pada folder tersebut terdapat folder root yang melakukan hyperlink ke akses root server.

Jika website Anda menggunakan timthumb dan telah terkena deface, jangan lupa untuk melihat folder cache atau temp untuk mengecek apakah file – file mencurigakan telah berhasil diunggah atau belum. Jika Anda menemukan file – file mencurigakan, kami sarankan untuk segera menghapusnya dari server.

Share on Facebook or , read previous article or go to the next one.