php.php_.php7_.gif - WordPress Rosszindulatú program (Pink X kép a médiakönyvtárban)

Furcsa dolog történt a közelmúltban számos webhelyről WordPress.

Problémaadatok php.php_.php7_.gif

A. Titokzatos megjelenése .gif képek rózsaszín alapon fekete "X" betűvel. Minden esetben a fájl neve "php.php_.php7_.gif", Mindenhol ugyanazokkal a tulajdonságokkal rendelkezik. Az érdekes rész az, hogy ezt a fájlt nem egy adott felhasználó / szerző töltötte fel. "Feltöltötte: (nincs szerző)".

File név: php.php_.php7_.gif
File típus: image / gif
Feltöltve: Július 11, 2019
File méret:
Méretek: 300 300 képpontokkal
Cím: php.php_.php7_
Feltöltött: (nincs szerző)

By default, ez a .GIF fájl, amely úgy néz ki tartalmaz egy szkriptet, be van töltve a kiszolgálóra az aktuális feltöltési mappát a kronológiából. Az adott esetekben: / Gyökér / wp-tartalom / feltöltések / 2019 / 07 /.
Egy másik érdekes dolog az, hogy a szerverre feltöltött php.php_.php7_.gif alapfájlt nem tudja megnyitni egy fotószerkesztő. Előnézet, Photoshop vagy más. Ehelyett miniatűr(ikonok) által automatikusan elkészített WordPress Több méretben a .gif-ek tökéletesen működőképesek és kinyithatók. Fekete "X" rózsaszín alapon.

Mi az a "php.php_.php7_.gif", és hogyan tudunk megszabadulni ezektől a gyanús fájloktól?

Törölje ezeket a fájlokat a legvalószínűbb malware / vírus, nem megoldás, ha csak erre korlátozzuk magunkat. A php.php_.php7_.gif természetesen nem legitim fájl WordPress vagy bővítmény hozta létre.
Egy webkiszolgálón könnyen azonosítható, ha van Linux Malware Detect  telepítve. A „“ vírusirtó / rosszindulatú program elleni folyamatmaldet"Azonnal észlelte a következő típusú vírusként:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Nagyon ajánlott, hogy legyen ilyen víruskereső a webkiszolgálón, és frissítse azt. Ezenkívül az antivírus úgy van beállítva, hogy véglegesen felügyelje a webes fájlok változásait.
verziója WordPress és az összes modulok (bővítmények) is frissülnek. A látottak alapján az összes webhelyen WordPress megfertőződött php.php_.php7_.gif közös elemként a plugin "WP felülvizsgálata". A nemrégiben frissítést kapott bővítmény, amelynek változási naplójában megtalálhatjuk: Rögzített sebezhetőségi probléma.

A rosszindulatú program által érintett webhelyek egyikére vonatkozóan errorA .log a következő sort találta:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Azt hiszem, hogy a hamis képek feltöltése a plug-in segítségével történt. A hiba először a fastcgi PORT hibából ered.
Fontos megemlíteni, hogy ez a vírus / WordPress a kártevő nem nagyon figyel a szerveren lévő PHP verzióra. mindkettőt megtaláltam PHP 5.6.40 és a PHP 7.1.30.

A cikk frissül, mivel többet tudunk meg a php.php_.php7_.gif malware fájlról Média →  könyvtár.

Hogyan » Antivírus és biztonság » php.php_.php7_.gif - WordPress Rosszindulatú program (Pink X kép a médiakönyvtárban)

Szenvedélyes a technológiával kapcsolatban, szeretek tesztelni és oktatóanyagokat írni az operációs rendszerekről macOS, Linux, Windows, ról ről WordPress, WooCommerce és LEMP webszerverek konfigurálása (Linux, NGINX, MySQL és PHP). írok tovább StealthSettingsA .com 2006 óta, és néhány évvel később elkezdtem írni az iHowTo.Tips oktatóanyagokat és az ökoszisztéma eszközeiről szóló híreket Apple: iPhone, iPad, Apple Nézd, HomePod, iMac, MacBook, AirPod-ok és kiegészítők.

Írj hozzászólást