php.php_.php7_.gif - WordPress Malware (rózsaszínű X kép a médiatárban)

Furcsa dolog történt a közelmúltban számos webhelyről WordPress.

Problémaadatok php.php_.php7_.gif

A. Titokzatos megjelenése .gif képek rózsaszín alapon fekete "X" betűvel. Minden esetben a fájl neve "php.php_.php7_.gif", Mindenhol ugyanazokkal a tulajdonságokkal rendelkezik. Az érdekes rész az, hogy ezt a fájlt nem egy adott felhasználó / szerző töltötte fel. "Feltöltötte: (nincs szerző)".

File név: php.php_.php7_.gif
File típus: image / gif
Feltöltve: Július 11, 2019
File méret:
Méretek: 300 300 képpontokkal
Cím: php.php_.php7_
Feltöltött: (nincs szerző)

By default, ez a .GIF fájl, amely úgy néz ki tartalmaz egy szkriptet, be van töltve a kiszolgálóra az aktuális feltöltési mappát a kronológiából. Az adott esetekben: / Gyökér / wp-tartalom / feltöltések / 2019 / 07 /.
Egy másik érdekes dolog az, hogy a szerverre feltöltött php.php_.php7_.gif alapfájlt nem tudja megnyitni egy fotószerkesztő. Előnézet, Photoshop vagy más. Ehelyett miniatűra WordPress által automatikusan elkészített (ikonok) több dimenzióban tökéletesen működnek .gif fájlok, és megnyithatók. Fekete "X" rózsaszín háttérrel.

Mi az a "php.php_.php7_.gif", és hogyan tudunk megszabadulni ezektől a gyanús fájloktól?

Törölje ezeket a fájlokat a legvalószínűbb malware / vírus, ez nem megoldás, ha csak erre korlátozunk. Persze a php.php_.php7_.gif nem jogos WordPress fájl, vagy egy plugin által létrehozott fájl.
Egy webkiszolgálón könnyen azonosítható, ha van Linux Malware Detect  telepítve. A „“ vírusirtó / rosszindulatú program elleni folyamatmaldet"Azonnal észlelte a következő típusú vírusként:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Nagyon ajánlott, hogy legyen ilyen víruskereső a webkiszolgálón, és frissítse azt. Ezenkívül az antivírus úgy van beállítva, hogy véglegesen felügyelje a webes fájlok változásait.
A WordPress verzió és az összes modulok (bővítmények) is frissülnek. Amennyire láttam, minden WordPress webhely fertőzött php.php_.php7_.gif közös elemként a plugin "WP felülvizsgálata". A nemrégiben frissítést kapott bővítmény, amelynek változási naplójában megtalálhatjuk: Rögzített sebezhetőségi probléma.

A rosszindulatú program által érintett webhelyek egyikén a error.log fájlban a következő sort találtuk:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Azt hiszem, hogy a hamis képek feltöltése a plug-in segítségével történt. A hiba először a fastcgi PORT hibából ered.
Fontos megjegyezni, hogy ez a rosszindulatú program / WordPress nem veszi figyelembe a szerver PHP verzióját. Mindkettőt megtaláltam PHP 5.6.40 és a PHP 7.1.30.

A cikk frissül, mivel többet tudunk meg a php.php_.php7_.gif malware fájlról Média →  könyvtár.

php.php_.php7_.gif - WordPress Malware (rózsaszínű X kép a médiatárban)

A szerzőről

Lopakodás

Szenvedélyesen minden eszközzel és informatikával kapcsolatban örömmel írok a lopakodásrólsettings.com 2006 óta, és szeretnék új dolgokat felfedezni veletek a számítógépekkel és az operációs rendszerekkel kapcsolatban a macOS, a Linux, Windows, iOS és Android.

Írj hozzászólást