php.php_.php7_.gif - WordPress Malware (rózsaszínű X kép a médiatárban)

Furcsa dolog történt a közelmúltban számos webhelyről WordPress.

Problémaadatok php.php_.php7_.gif

A. Titokzatos megjelenése .gif képek rózsaszín alapon fekete "X" betűvel. Minden esetben a fájl neve "php.php_.php7_.gif", Mindenhol ugyanazokkal a tulajdonságokkal rendelkezik. Az érdekes rész az, hogy ezt a fájlt nem egy adott felhasználó / szerző töltötte fel. "Feltöltötte: (nincs szerző)".

File név: php.php_.php7_.gif
File típus: image / gif
Feltöltve: Július 11, 2019
File méret:
Méretek: 300 300 képpontokkal
Cím: php.php_.php7_
Feltöltött: (nincs szerző)

By default, ez a .GIF fájl, amely úgy néz ki tartalmaz egy szkriptet, be van töltve a kiszolgálóra az aktuális feltöltési mappát a kronológiából. Az adott esetekben: / Gyökér / wp-tartalom / feltöltések / 2019 / 07 /.
Egy másik érdekes dolog az, hogy a szerverre feltöltött php.php_.php7_.gif alapfájlt nem tudja megnyitni egy fotószerkesztő. Előnézet, Photoshop vagy más. Ehelyett miniatűra WordPress által automatikusan elkészített (ikonok) több dimenzióban tökéletesen működnek .gif fájlok, és megnyithatók. Fekete "X" rózsaszín háttérrel.

Mi az a "php.php_.php7_.gif", és hogyan tudunk megszabadulni ezektől a gyanús fájloktól?

Törölje ezeket a fájlokat a legvalószínűbb malware / vírus, ez nem megoldás, ha csak erre korlátozunk. Persze a php.php_.php7_.gif nem jogos WordPress fájl, vagy egy plugin által létrehozott fájl.
Egy webkiszolgálón könnyen azonosítható, ha van Linux Malware Detect  telepítve. A „“ vírusirtó / rosszindulatú program elleni folyamatmaldet"Azonnal észlelte a következő típusú vírusként:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Nagyon ajánlott, hogy legyen ilyen víruskereső a webkiszolgálón, és frissítse azt. Ezenkívül az antivírus úgy van beállítva, hogy véglegesen felügyelje a webes fájlok változásait.
A WordPress verzió és az összes modulok (bővítmények) is frissülnek. Amennyire láttam, minden WordPress webhely fertőzött php.php_.php7_.gif közös elemként a plugin "WP felülvizsgálata". A nemrégiben frissítést kapott bővítmény, amelynek változási naplójában megtalálhatjuk: Rögzített sebezhetőségi probléma.

A rosszindulatú program által érintett webhelyek egyikére vonatkozóan errorA .log a következő sort találta:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Azt hiszem, hogy a hamis képek feltöltése a plug-in segítségével történt. A hiba először a fastcgi PORT hibából ered.
Fontos megjegyezni, hogy ez a rosszindulatú program / WordPress nem veszi figyelembe a szerver PHP verzióját. Mindkettőt megtaláltam PHP 5.6.40 és a PHP 7.1.30.

A cikk frissül, mivel többet tudunk meg a php.php_.php7_.gif malware fájlról Média →  könyvtár.

Hagy egy Válaszol

Az email címed addA ress nem jelenik meg. Kötelező kitölteni *

Végösszeg
0
Megoszt
Előző cikk

502 Bad Gateway / Cloudflare Down - Hogyan javítható

Következő cikk

Hogyan lehet törölni az alapértelmezett "Hajtsa másra" jelölést address "a Woocommerce Checkout oldalán

Végösszeg
0
Megosztás