php.php_.php7_.gif - Zlonamerna programska oprema WordPress (slika Pink X v medijski knjižnici)

Nekaj ​​čudnega je bilo nedavno, o katerem sem poročal na več mestih WordPress.

Problemski podatki php.php_.php7_.gif

Skrivnostni videz a .gif slike s črnim "X" na roza ozadju. V vseh primerih je bila datoteka poimenovana "php.php_.php7_.gif", Povsod enake lastnosti. Zanimivo je, da te datoteke ni naložil določen uporabnik / avtor. "Naložil: (brez avtorja)".

File Ime: php.php_.php7_.gif
File tip: image / gif
Naloženo v: Julij 11, 2019
File velikost:
dimenzije: 300 s piksli 300
Naslov: php.php_.php7_
Preneseno: (brez avtorja)

By default, ta datoteka .GIF, ki je videti vsebuje skript, je v strežnik naložen trenutno mapo za nalaganje iz kronologije. V danih primerih: / Root / wp-content / nalaganj / 2019 / 07 /.
Druga zanimivost je, da osnovne datoteke, php.php_.php7_.gif, ki je bila naložena na strežnik, ne more odpreti urejevalnik fotografij. Predogled, Photoshop ali kateri koli drugi. Namesto tega thumbnail(ikone), ki jih WordPress samodejno izdela v več dimenzijah, so popolnoma funkcionalne .gifs in jih je mogoče odpreti. Črni "X" na roza ozadju.

Kaj je "php.php_.php7_.gif" in kako se lahko znebimo teh sumljivih datotek?

Najverjetneje izbrišite te datoteke zlonamerna programska oprema / virus, ni rešitev, če se omejimo na to. Seveda php.php_.php7_.gif ni legitimna datoteka WordPress ali ustvarjena z vtičnikom.
Na spletnem strežniku ga je mogoče zlahka prepoznati, če jih imamo Odkrivanje malwarea v Linuxu  nameščen. Proces za zaščito pred virusi / zlonamerno programsko opremomaldet"Takoj ga odkril kot virus vrste:"{Yara} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Zelo priporočljivo je, da ga imate antivirus na spletnem strežniku in ga posodobite do danes. Poleg tega je protivirusni program nastavljen za stalno spremljanje sprememb spletnih datotek.
Različica WordPress in vse moduli (vtičniki) tudi posodobiti. Kolikor sem videl, so vsa WordPress mesta okužena z php.php_.php7_.gif imajo kot skupni element vtičnik "WP Review". Vtičnik, ki je pred kratkim prejel posodobitev, v katerega dnevniku sprememb najdemo: Popravljena težava zaradi ranljivosti.

Za eno od spletnih mest, ki jih je prizadela ta zlonamerna programska oprema, v error.log je našel naslednjo vrstico:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Pomislim, da je bila s tem vtičnikom prenesena napačna slika. Napaka najprej izhaja iz napake fastCgi PORT.
Pomembno je, da ta malware / WordPress ne upošteva PHP verzije na strežniku. Našel sem oba PHP 5.6.40 in PHP 7.1.30.

Članek bo posodobljen, ko bomo izvedeli več o datoteki php.php_.php7_.gif, ki je prisotna v mediji →  Knjižnica.

Navdušen sem nad tehnologijo, rad preizkušam in pišem vaje o operacijskih sistemih macOS, Linux, Windows, o WordPressu, WooCommerceu in konfiguraciji spletnega strežnika LEMP (Linux, NGINX, MySQL in PHP). Pišem naprej StealthSettings.com od leta 2006, nekaj let kasneje pa sem začel pisati na iHowTo.Tips vadnice in novice o napravah v ekosistemu Apple: iPhone, iPad, Apple Ura, HomePod, iMac, MacBook, AirPods in dodatki.

Pustite komentar