php.php_.php7_.gif - WordPress Pahavara (roosa X-kujutis meediateegis)

Hiljuti teatati mulle kummaline asi mitmel saidil WordPress.

Probleemiandmed php.php_.php7_.gif

Salajane välimus .gif pildid, mille roosa taustal on must "X". Kõigil juhtudel nimetati faili nimeks "php.php_.php7_.gif", Millel on kõikjal samad omadused. Huvitav on see, et seda faili pole konkreetne kasutaja / autor üles laadinud. "Üles laadinud: (autor puudub)".

Faili nimi: php.php_.php7_.gif
Faili tüüp: image / gif
Üleslaaditud: Juuli 11, 2019
Faili suurus:
Mõõdud: 300 300 pikslit
Kapslid: php.php_.php7_
Üles laaditud: (autor puudub)

By default, see .GIF-fail, mis näeb välja sisaldab skripti, laaditakse serverisse praeguse üleslaadimise kausta kronoloogiast. Antud juhtudel: / Root / wp-content / uploads / 2019 / 07 /.
Teine huvitav asi on see, et fototöötleja ei saa avada serverile üles laaditud baasfaili php.php_.php7_.gif. Eelvaade, Photoshop või mõni muu. Selle asemel thumbnail(ikoonid), mille on automaatselt teinud WordPress mitmes suuruses on .gifid täiesti funktsionaalsed ja neid saab avada. Must "X" roosal taustal.

Mis on "php.php_.php7_.gif" ja kuidas neist kahtlastest failidest lahti saada?

Kustutage need failid kõige tõenäolisemalt malware / viirus, ei ole lahendus, kui piirdume sellega. Kindlasti ei ole php.php_.php7_.gif seaduslik fail WordPress või loodud pluginaga.
Veebiserveris on see kergesti tuvastatav Linux Pahavara tuvastamine  installitud. Viirusetõrje / pahavara vastane protsessmaldet"Tuvastas kohe selle tüüpi viirustena:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Väga soovitatav on see viirusetõrje veebiserveris ja selle ajakohastamine. Lisaks on viirusetõrje seadistatud muutma veebifailide muudatusi püsivalt.
Versioon WordPress ja kõik täiendatakse ka mooduleid (pluginaid). Selle põhjal, mida ma olen näinud, kõik saidid WordPress nakatunud php.php_.php7_.gif on pistikprogramm ühise elemendina "WP Review". Pistikprogramm, mis sai hiljuti värskenduse, mille muudatuste loendist leiame: Fikseeritud haavatavuse probleem.

Ühes selle pahavaraga mõjutatud saitide puhul kuvatakse error.log leidis järgmise rea:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

See paneb mind arvama, et vale kujutiste üleslaadimine tehti selle pistikprogrammi kaudu. Viga tekib kõigepealt fastcgi PORT vea tõttu.
Oluline mainimine on, et see viirus / WordPress pahavara ei pööra serveris olevale PHP versioonile erilist tähelepanu. Leidsin mõlemad PHP 5.6.40 ja PHP 7.1.30.

Artiklit värskendatakse, kui me lisateavet php.php_.php7_.gif pahavara faili kohta leiate Meedia →  Raamatukogu.

Tehnoloogiafännina olen alates 2006. aastast rõõmuga kirjutanud lehel StealthSettings.com. Mul on laialdased kogemused operatsioonisüsteemides: macOS, Windows ja Linux, samuti programmeerimiskeeltes ja blogiplatvormides (WordPress) ning veebipoodide ja platvormidega (WooCommerce, Magento, PrestaShop).

kuidas » Viirusetõrje ja turvalisus » php.php_.php7_.gif - WordPress Pahavara (roosa X-kujutis meediateegis)
Jäta kommentaar