php.php_.php7_.gif - WordPress Malware (Roza slika X v knjižnici medijev)

Nekaj ​​čudnega je bilo nedavno, o katerem sem poročal na več mestih WordPress.

Problemski podatki php.php_.php7_.gif

Skrivnostni videz a .gif slike s črnim "X" na rožnatem ozadju. V vseh primerih je bila datoteka imenovana "php.php_.php7_.gif", Ki ima povsod enake lastnosti." Zanimivo je, da te datoteke ni naložil določen uporabnik / avtor. "Naložil: (brez avtorja)".

Ime datoteke: php.php_.php7_.gif
Vrsta datoteke: image / gif
Naloženo v: Julij 11, 2019
Velikost datoteke:
dimenzije: 300 s piksli 300
Naslov: php.php_.php7_
Preneseno: (brez avtorja)

Ta datoteka .GIF je privzeto videti kot a vsebuje skript, je v strežnik naložen trenutno mapo za nalaganje iz kronologije. V danih primerih: / Root / wp-content / nalaganj / 2019 / 07 /.
Druga zanimivost je, da osnovne datoteke, php.php_.php7_.gif, ki je bila naložena na strežnik, ne more odpreti urejevalnik fotografij. Predogled, Photoshop ali kateri koli drugi. Namesto tega thumbnail(ikone), ki jih samodejno ustvari WordPress na več velikostih, so popolnoma delujoče in se lahko odprejo. Črno "X" na rožnatem ozadju.

Kaj je "php.php_.php7_.gif" in kako se lahko znebimo teh sumljivih datotek

Najverjetneje izbrišite te datoteke zlonamerna programska oprema / virus, ni rešitev, če se omejimo na to. Seveda php.php_.php7_.gif ni legitimna datoteka WordPress ali ustvarjena z vtičnikom.
Na spletnem strežniku ga je mogoče zlahka prepoznati, če jih imamo Odkrivanje malwarea v Linuxu nameščen. Proces anti-virus / anti-malware "maldet"Takoj jo je zaznal kot virus tipa:"{Yara} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Zelo priporočljivo je, da ga imate antivirus na spletnem strežniku in ga posodobite do danes. Poleg tega je protivirusni program nastavljen za stalno spremljanje sprememb spletnih datotek.
Različica WordPress in vse moduli (vtičniki) tudi posodobiti. Kolikor sem videl, so vsa WordPress mesta okužena z php.php_.php7_.gif imajo kot skupni element vtičnika "WP Review". Vtičnik, ki je pravkar prejel posodobitev v razdelku sprememb, najdemo: Popravljena težava zaradi ranljivosti.

Za eno od spletnih mest, ki jih je prizadela ta zlonamerna programska oprema, je bila v datoteki error.log najdena naslednja vrstica:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Pomislim, da je bila s tem vtičnikom prenesena napačna slika. Napaka najprej izhaja iz napake fastCgi PORT.
Pomembno je, da ta malware / WordPress ne upošteva PHP verzije na strežniku. Našel sem oba PHP 5.6.40 in PHP 7.1.30.

Članek bo posodobljen, ko bomo izvedeli več o datoteki php.php_.php7_.gif, ki je prisotna v medijiKnjižnica.

php.php_.php7_.gif - WordPress Malware (Roza slika X v knjižnici medijev)

O avtorju

Stealth

S strastjo nad vsem, kar pomeni pripomoček in IT, z 2006 z veseljem pišem na stealthsettings.com in rad z vami odkrivam nove stvari o računalnikih in macOS-u, operacijskih sistemih Linux, Windows, iOS in Android.

Pustite komentar