php.php_.php7_.gif - WordPress Pahavara (roosa X-kujutis meediateegis)

Hiljuti teatati mulle kummaline asi mitmel saidil WordPress.

Probleemiandmed php.php_.php7_.gif

Salajane välimus .gif pildid, mille roosa taustal on must "X". Kõigil juhtudel nimetati faili nimeks "php.php_.php7_.gif", Millel on kõikjal samad omadused. Huvitav on see, et seda faili pole konkreetne kasutaja / autor üles laadinud. "Üles laadinud: (autor puudub)".

File nimi: php.php_.php7_.gif
File Tüüp: image / gif
Üleslaaditud: Juuli 11, 2019
File suurus:
Mõõdud: 300 300 pikslit
Kapslid: php.php_.php7_
Üles laaditud: (autor puudub)

php ping gif
roosa php pahavara

By default, see .GIF-fail, mis näeb välja sisaldab skripti, laaditakse serverisse praeguse üleslaadimise kausta kronoloogiast. Antud juhtudel: / Root / wp-content / uploads / 2019 / 07 /.
Teine huvitav asi on see, et fototöötleja ei saa avada serverile üles laaditud baasfaili php.php_.php7_.gif. Eelvaade, Photoshop või mõni muu. Selle asemel thumbnail(ikoonid), mille on automaatselt teinud WordPress mitmes suuruses on .gifid täiesti funktsionaalsed ja neid saab avada. Must "X" roosal taustal.

Mis on "php.php_.php7_.gif" ja kuidas neist kahtlastest failidest lahti saada?

Kustutage need failid kõige tõenäolisemalt malware / viirus, ei ole lahendus, kui piirdume sellega. Kindlasti ei ole php.php_.php7_.gif seaduslik fail WordPress või loodud pluginaga.
Veebiserveris on see kergesti tuvastatav Linuxi pahavara tuvastamine  installitud. Viirusetõrje / pahavara vastane protsessmaldet"Tuvastas kohe selle tüüpi viirustena:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Väga soovitatav on see viirusetõrje veebiserveris ja selle ajakohastamine. Lisaks on viirusetõrje seadistatud muutma veebifailide muudatusi püsivalt.
Versioon WordPress ja kõik täiendatakse ka mooduleid (pluginaid). Selle põhjal, mida ma olen näinud, kõik saidid WordPress nakatunud php.php_.php7_.gif on pistikprogramm ühise elemendina "WP Review". Pistikprogramm, mis sai hiljuti värskenduse, mille muudatuste loendist leiame: Fikseeritud haavatavuse probleem.

Ühes selle pahavaraga mõjutatud saitide puhul kuvatakse error.log leidis järgmise rea:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

See paneb mind arvama, et vale kujutiste üleslaadimine tehti selle pistikprogrammi kaudu. Viga tekib kõigepealt fastcgi PORT vea tõttu.
Oluline mainimine on, et see viirus / WordPress pahavara ei pööra serveris olevale PHP versioonile erilist tähelepanu. Leidsin mõlemad PHP 5.6.40 ja PHP 7.1.30.

Artiklit värskendatakse, kui me lisateavet php.php_.php7_.gif pahavara faili kohta leiate andmekandja →  Raamatukogu.

Kirglik tehnoloogia vastu, mulle meeldib testida ja kirjutada õpetusi opsüsteemide kohta macOS, Linux Windows, umbes WordPress, WooCommerce ja seadistada LEMP veebiservereid (Linux, NGINX, MySQL ja PHP). kirjutan edasi StealthSettings.com alates 2006. aastast ja paar aastat hiljem hakkasin kirjutama iHowTo.Tipsi õpetustes ja uudistes ökosüsteemi seadmete kohta Apple: iPhone, iPad, Apple Vaata, HomePod, iMac, MacBook, AirPodid ja tarvikud.

Jäta kommentaar