php.php_.php7_.gif - WordPress Malware (Pink X pilt meediakogus)

Hiljuti teatati mulle kummaline asi mitmel saidil WordPress.

Probleemiandmed php.php_.php7_.gif

Salajane välimus .gif pildid, millel on must "X" roosa taustal. Kõigil juhtudel on fail nimeks "php.php_.php7_.gif", Millel on kõikjal samad omadused. Huvitav on see, et seda faili pole üles laadinud konkreetne kasutaja / autor. "Üles laadinud: (autor puudub)".

Faili nimi: php.php_.php7_.gif
Faili tüüp: image / gif
Üleslaaditud: Juuli 11, 2019
Faili suurus:
Mõõdud: 300 300 pikslit
pealkiri: php.php_.php7_
Üles laaditud: (autor puudub)

Vaikimisi on see .GIF-fail a sisaldab skripti, laaditakse serverisse praeguse üleslaadimise kausta kronoloogiast. Antud juhtudel: / Root / wp-content / uploads / 2019 / 07 /.
Teine huvitav asi on see, et fototöötleja ei saa avada serverile üles laaditud baasfaili php.php_.php7_.gif. Eelvaade, Photoshop või mõni muu. Selle asemel thumbnail(ikoonid), mis on WordPressi poolt automaatselt mitme suurusega tehtud, on täiesti toimivad .gifs ja neid saab avada. "X" must roosa taustal.

Mis on "php.php_.php7_.gif" ja kuidas me saame neist kahtlastest failidest lahti saada

Kustutage need failid kõige tõenäolisemalt malware / viirusSee ei ole lahendus, kui piirdume just sellega. Muidugi php.php_.php7_.gif ei ole õigustatud WordPressi fail ega plugina loodud.
Veebiserveris on see kergesti tuvastatav Linuxi pahavara tuvastamine paigaldatud. Viirusetõrje / pahavara tõrje protsess "maldet"Avastas ta kohe tüübiviirusena:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Väga soovitatav on see viirusetõrje veebiserveris ja selle ajakohastamine. Lisaks on viirusetõrje seadistatud muutma veebifailide muudatusi püsivalt.
WordPressi versioon ja kõik täiendatakse ka mooduleid (pluginaid). Niipalju kui ma nägin, kõik WordPress saidid nakatunud php.php_.php7_.gif on tavalise pluginaelemendinaWP Review". Plugin, mis sai just värskenduse leitud muudatuses Fikseeritud haavatavuse probleem.

Ühe saidi puhul, mida see pahavara mõjutab, leiti error.log alljärgnev rida:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

See paneb mind arvama, et vale kujutiste üleslaadimine tehti selle pistikprogrammi kaudu. Viga tekib kõigepealt fastcgi PORT vea tõttu.
Oluline märkus on see, et see pahavara / WordPress ei võta serveris PHP versiooni tegelikult arvesse. Ma leidsin selle mõlemad PHP 5.6.40 ja PHP 7.1.30.

Artiklit värskendatakse, kui me lisateavet php.php_.php7_.gif pahavara faili kohta leiate andmekandjaraamatukogu.

php.php_.php7_.gif - WordPress Malware (Pink X pilt meediakogus)

Andmeid autor

Kavalus

Sõbralikult kõike, mis tähendab vidinaid ja infot, kirjutan koos 2006i rõõmuga stealthsettings.com ja mulle meeldib avastada teiega uusi asju arvutite ja operatsioonisüsteemide macOS, Linuxi, Windowsi, iOS-i ja Android-i puhul.

Jäta kommentaar