php.php_.php7_.gif - WordPress Malware (ružový obrázok X v knižnici médií)

Nedávno mi bola na niekoľkých stránkach oznámená zvláštna vec WordPress.

Problémové údaje php.php_.php7_.gif

Tajomný vzhľad a .gif obrázky s čiernym "X" na ružovom pozadí, Vo všetkých prípadoch bol súbor pomenovaný "php.php_.php7_.gif", Ktoré majú rovnaké vlastnosti všade. Zaujímavosťou je, že tento súbor nebol nahraný konkrétnym používateľom / autorom. "Odovzdal používateľ: (žiadny autor)".

Názov súboru: php.php_.php7_.gif
Typ súboru: image / gif
Odovzdané dňa: Júla 11, 2019
Veľkosť súboru:
Rozmery: 300 o 300 pixelov
nadpis: php.php_.php7_
Odovzdal používateľ: (bez autora)

V predvolenom nastavení sa tento súbor .GIF javí ako obsahuje skript, je načítaný na server v aktuálny priečinok pre nahrávanie z chronológie. V uvedených prípadoch: / Root / wp-content / uploads / 2019 / 07 /.
Ďalšou zaujímavosťou je, že základný súbor php.php_.php7_.gif, ktorý bol nahraný na server, nemôže otvoriť editor fotografií. Ukážka, Photoshop alebo iné. namiesto toho, thumbnail(ikony) sa automaticky WordPress na viacerých veľkostiach, sú dokonale fungujúce .gifs a môžu byť otvorené. "X" čierna na ružovom pozadí.

Čo je to „php.php_.php7_.gif“ a ako sa môžeme zbaviť týchto podozrivých súborov

Tieto súbory s najväčšou pravdepodobnosťou vymažte malware / vírusNie je to riešenie, ak sa obmedzíme len na to. Iste php.php_.php7_.gif nie je legitímny súbor WordPress alebo vytvorený pluginom.
Na webovom serveri sa dá ľahko identifikovať, ak máme Detekcia Linux Malware nainštalovaný. Proces anti-virus / anti-malware procesumaldet"Ihneď ho rozpoznal ako typ vírusu:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Odporúča sa mať jednu antivírus na webovom serveri a aktualizovať ho, Okrem toho je antivírus nastavený na trvalé monitorovanie zmien webových súborov.
WordPress verzia a všetky aktualizovať aj moduly (pluginy), Pokiaľ som videl, všetky WordPress stránky infikované php.php_.php7_.gif mať spoločný element pluginu "WP Review". Plugin, ktorý práve dostal aktualizáciu v zozname zmien, nájdeme: Opravený problém so zraniteľnosťou.

Pre jednu z lokalít, na ktoré sa vzťahuje tento malware, sa v súbore error.log našiel nasledujúci riadok:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

To si myslím, že nahranie falošných obrázkov bolo vykonané prostredníctvom tohto doplnku. Chyba najprv vzniká z chyby fastcgi PORT.
Dôležitá poznámka je, že tento malware / WordPress v skutočnosti neberie do úvahy verziu PHP na serveri. Našiel som to oboje PHP 5.6.40 a PHP 7.1.30.

Článok sa aktualizuje, keď sa dozvieme viac o php.php_.php7_.gif škodlivom súbore, ktorý sa nachádza v mediaknižnica.

php.php_.php7_.gif - WordPress Malware (ružový obrázok X v knižnici médií)

O autorovi

tajnosť

Vášnivý o všetkom, čo znamená gadget a IT, píšem s potešením na stealthsettings.com od 2006 a rád s vami objavujem nové veci o počítačoch a MacOS, operačných systémoch Linux, Windows, iOS a Android.

Pridať komentár