Furcsa dolog történt a közelmúltban számos webhelyről WordPress.
Problémaadatok php.php_.php7_.gif
A. Titokzatos megjelenése .gif képek rózsaszín alapon fekete "X" betűvel. Minden esetben a fájl neve "php.php_.php7_.gif", Mindenhol ugyanazokkal a tulajdonságokkal rendelkezik. Az érdekes rész az, hogy ezt a fájlt nem egy adott felhasználó / szerző töltötte fel. "Feltöltötte: (nincs szerző)".
Fájl neve: php.php_.php7_.gif
Fájltípus: image / gif
Feltöltve: Július 11, 2019
Fájlméret:
Méretek: 300 300 képpontokkal
Cím: php.php_.php7_
Feltöltött: (nincs szerző)
By default, ez a .GIF fájl, amely úgy néz ki tartalmaz egy szkriptet, be van töltve a kiszolgálóra az aktuális feltöltési mappát a kronológiából. Az adott esetekben: / Gyökér / wp-tartalom / feltöltések / 2019 / 07 /.
Egy másik érdekes dolog az, hogy a szerverre feltöltött php.php_.php7_.gif alapfájlt nem tudja megnyitni egy fotószerkesztő. Előnézet, Photoshop vagy más. Ehelyett miniatűr(ikonok) által automatikusan elkészített WordPress Több méretben a .gif-ek tökéletesen működőképesek és kinyithatók. Fekete "X" rózsaszín alapon.
Mi az a "php.php_.php7_.gif", és hogyan tudunk megszabadulni ezektől a gyanús fájloktól?
Törölje ezeket a fájlokat a legvalószínűbb malware / vírus, nem megoldás, ha csak erre korlátozzuk magunkat. A php.php_.php7_.gif természetesen nem legitim fájl WordPress vagy bővítmény hozta létre.
Egy webkiszolgálón könnyen azonosítható, ha van Linux Malware Detect telepítve. A „“ vírusirtó / rosszindulatú program elleni folyamatmaldet"Azonnal észlelte a következő típusú vírusként:"{YARA} php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Nagyon ajánlott, hogy legyen ilyen víruskereső a webkiszolgálón, és frissítse azt. Ezenkívül az antivírus úgy van beállítva, hogy véglegesen felügyelje a webes fájlok változásait.
verziója WordPress és az összes modulok (bővítmények) is frissülnek. A látottak alapján az összes webhelyen WordPress megfertőződött php.php_.php7_.gif közös elemként a plugin "WP felülvizsgálata". A nemrégiben frissítést kapott bővítmény, amelynek változási naplójában megtalálhatjuk: Rögzített sebezhetőségi probléma.
A rosszindulatú program által érintett webhelyek egyikére vonatkozóan errorA .log a következő sort találta:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Azt hiszem, hogy a hamis képek feltöltése a plug-in segítségével történt. A hiba először a fastcgi PORT hibából ered.
Fontos megemlíteni, hogy ez a vírus / WordPress a kártevő nem nagyon figyel a szerveren lévő PHP verzióra. mindkettőt megtaláltam PHP 5.6.40 és a PHP 7.1.30.
A cikk frissül, mivel többet tudunk meg a php.php_.php7_.gif malware fájlról Média → könyvtár.
