php.php_.php7_.gif - WordPress Malware (Pink X fényképek Media Library)

Furcsa dolog történt a közelmúltban számos webhelyről WordPress.

Problémaadatok php.php_.php7_.gif

A. Titokzatos megjelenése .gif képek, fekete alapon "X", rózsaszín alapon. Minden esetben a fájl neve "php.php_.php7_.gif", Ugyanazok a tulajdonságok mindenhol. Az érdekes rész az, hogy egy adott felhasználó / szerző nem tölti fel ezt a fájlt. "Feltöltötte: (nincs szerző)".

Fájl neve: php.php_.php7_.gif
Fájltípus: image / gif
Feltöltve: Július 11, 2019
Fájlméret:
Méretek: 300 300 képpontokkal
Cím: php.php_.php7_
Feltöltött: (nincs szerző)

Alapértelmezés szerint ez a .GIF fájl a tartalmaz egy szkriptet, be van töltve a kiszolgálóra az aktuális feltöltési mappát a kronológiából. Az adott esetekben: / Gyökér / wp-tartalom / feltöltések / 2019 / 07 /.
Egy másik érdekes dolog az, hogy a szerverre feltöltött php.php_.php7_.gif alapfájlt nem tudja megnyitni egy fotószerkesztő. Előnézet, Photoshop vagy más. Ehelyett miniatűr(ikonok), amelyeket a WordPress automatikusan készít több méretben, tökéletesen működőképesek .gifs és megnyithatók. Az "X" fekete rózsaszín alapon.

Mi az a "php.php_.php7_.gif" és hogyan lehet megszabadulni ezekről a gyanús fájlokról

Törölje ezeket a fájlokat a legvalószínűbb malware / vírus, ez nem megoldás, ha csak erre korlátozunk. Persze a php.php_.php7_.gif nem jogos WordPress fájl, vagy egy plugin által létrehozott fájl.
Egy webkiszolgálón könnyen azonosítható, ha van Linux Malware Detect telepítve. A víruskereső / kártevőellenes folyamat "maldet"Azonnal észlelték, hogy egy tipikus vírus:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Nagyon ajánlott, hogy legyen ilyen víruskereső a webkiszolgálón, és frissítse azt. Ezenkívül az antivírus úgy van beállítva, hogy véglegesen felügyelje a webes fájlok változásait.
A WordPress verzió és az összes modulok (bővítmények) is frissülnek. Amennyire láttam, minden WordPress webhely fertőzött php.php_.php7_.gif közös plugin elemként vanWP felülvizsgálata”. Plugin, amely éppen frissítést kapott a következő változóban: Rögzített sebezhetőségi probléma.

A rosszindulatú program által érintett webhelyek egyikén a error.log fájlban a következő sort találtuk:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Azt hiszem, hogy a hamis képek feltöltése a plug-in segítségével történt. A hiba először a fastcgi PORT hibából ered.
Fontos megjegyezni, hogy ez a rosszindulatú program / WordPress nem veszi figyelembe a szerver PHP verzióját. Mindkettőt megtaláltam PHP 5.6.40 és a PHP 7.1.30.

A cikk frissül, mivel többet tudunk meg a php.php_.php7_.gif malware fájlról Médiakönyvtár.

php.php_.php7_.gif - WordPress Malware (Pink X fényképek Media Library)

A szerzőről

Lopakodás

Szenvedélyesen foglalkozik mindazokkal, amelyek eszközöket és informatikai eszközöket mutatnak, örömmel írom a stealthsettings.com webhelyre az 2006-től, és szeretek új dolgokat felfedezni a számítógépekről és a MacOS-ról, a Linux operációs rendszerekről, Windows, iOS és Android.

Leave a Comment