php.php_.php7_.gif - Škodlivý softvér WordPress (ružový obrázok X v knižnici médií)

Nedávno mi bola na niekoľkých stránkach oznámená zvláštna vec WordPress.

Problémové údaje php.php_.php7_.gif

Tajomný vzhľad a .gif obrázky s čiernym „X“ na ružovom pozadí. Vo všetkých prípadoch bol súbor pomenovaný „php.php_.php7_.gif", Majú všade rovnaké vlastnosti. Zaujímavosťou je, že tento súbor nenahral konkrétny používateľ / autor. „Odovzdal používateľ: (žiadny autor)".

File Meno: php.php_.php7_.gif
File Typ: image / gif
Odovzdané dňa: Júla 11, 2019
File size:
Rozmery: 300 o 300 pixelov
nadpis: php.php_.php7_
Odovzdal používateľ: (bez autora)

By default, tento súbor .GIF, ktorý vyzerá ako obsahuje skript, je načítaný na server v aktuálny priečinok pre nahrávanie z chronológie. V uvedených prípadoch: / Root / wp-content / uploads / 2019 / 07 /.
Ďalšou zaujímavosťou je, že základný súbor php.php_.php7_.gif, ktorý bol nahraný na server, nemôže otvoriť editor fotografií. Ukážka, Photoshop alebo iné. namiesto toho, thumbnail(ikony) vytvorené automaticky WordPressom v niekoľkých rozmeroch, sú perfektne funkčné .gif a dajú sa otvoriť. Čierne „X“ na ružovom pozadí.

Čo je „php.php_.php7_.gif“ a ako sa môžeme zbaviť týchto podozrivých súborov?

Tieto súbory s najväčšou pravdepodobnosťou vymažte malware / vírusNie je to riešenie, ak sa obmedzíme len na to. Iste php.php_.php7_.gif nie je legitímny súbor WordPress alebo vytvorený pluginom.
Na webovom serveri sa dá ľahko identifikovať, ak máme Detekcia Linux Malware  nainštalovaný. Antivírusový / anti-malware proces „maldet„Okamžite detekovaný ako vírus typu:“{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Odporúča sa mať jednu antivírus na webovom serveri a aktualizovať ho, Okrem toho je antivírus nastavený na trvalé monitorovanie zmien webových súborov.
WordPress verzia a všetky aktualizovať aj moduly (pluginy), Pokiaľ som videl, všetky WordPress stránky infikované php.php_.php7_.gif mať ako spoločný prvok plugin "WP Review„. Plugin, ktorý nedávno dostal aktualizáciu, v ktorej zozname zmien nájdeme: Opravený problém so zraniteľnosťou.

Pre jednu zo stránok ovplyvnených týmto malvérom v error.log našiel nasledujúci riadok:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

To si myslím, že nahranie falošných obrázkov bolo vykonané prostredníctvom tohto doplnku. Chyba najprv vzniká z chyby fastcgi PORT.
Dôležitá poznámka je, že tento malware / WordPress v skutočnosti neberie do úvahy verziu PHP na serveri. Našiel som to oboje PHP 5.6.40PHP 7.1.30.

Článok sa aktualizuje, keď sa dozvieme viac o php.php_.php7_.gif škodlivom súbore, ktorý sa nachádza v media →  knižnica.

Vášnivý k technológiám, rád testujem a píšem návody o operačných systémoch macOS, Linux, Windows, o konfigurácii webového servera WordPress, WooCommerce a LEMP (Linux, NGINX, MySQL a PHP). Píšem ďalej StealthSettings.com od roku 2006 a o pár rokov neskôr som začal písať na iHowTo.Tips návody a novinky o zariadeniach v ekosystéme Apple: iPhone, iPad, Apple Hodinky, HomePod, iMac, MacBook, AirPods a príslušenstvo.

Pridať komentár