php.php_.php7_.gif - WordPressi pahavara (roosa X pilt meediumiteegis)

Hiljuti teatati mulle kummaline asi mitmel saidil WordPress.

Probleemiandmed php.php_.php7_.gif

Salajane välimus .gif pildid, mille roosa taustal on must "X". Kõigil juhtudel nimetati faili nimeks "php.php_.php7_.gif", Millel on kõikjal samad omadused. Huvitav on see, et seda faili pole konkreetne kasutaja / autor üles laadinud. "Üles laadinud: (autor puudub)".

File nimi: php.php_.php7_.gif
File Tüüp: image / gif
Üleslaaditud: Juuli 11, 2019
File suurus:
Mõõdud: 300 300 pikslit
Kapslid: php.php_.php7_
Üles laaditud: (autor puudub)

By default, see .GIF-fail, mis näeb välja sisaldab skripti, laaditakse serverisse praeguse üleslaadimise kausta kronoloogiast. Antud juhtudel: / Root / wp-content / uploads / 2019 / 07 /.
Teine huvitav asi on see, et fototöötleja ei saa avada serverile üles laaditud baasfaili php.php_.php7_.gif. Eelvaade, Photoshop või mõni muu. Selle asemel thumbnailWordPressi automaatselt mitmel mõõtmel tehtud (ikoonid) on täiesti funktsionaalsed .gif-failid ja neid saab avada. Roosal taustal must "X".

Mis on "php.php_.php7_.gif" ja kuidas neist kahtlastest failidest lahti saada?

Kustutage need failid kõige tõenäolisemalt malware / viirusSee ei ole lahendus, kui piirdume just sellega. Muidugi php.php_.php7_.gif ei ole õigustatud WordPressi fail ega plugina loodud.
Veebiserveris on see kergesti tuvastatav Linuxi pahavara tuvastamine  installitud. Viirusetõrje / pahavara vastane protsessmaldet"Tuvastas kohe selle tüüpi viirustena:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Väga soovitatav on see viirusetõrje veebiserveris ja selle ajakohastamine. Lisaks on viirusetõrje seadistatud muutma veebifailide muudatusi püsivalt.
WordPressi versioon ja kõik täiendatakse ka mooduleid (pluginaid). Niipalju kui ma nägin, kõik WordPress saidid nakatunud php.php_.php7_.gif on pistikprogramm ühise elemendina "WP Review". Pistikprogramm, mis sai hiljuti värskenduse, mille muudatuste loendist leiame: Fikseeritud haavatavuse probleem.

Ühes selle pahavaraga mõjutatud saitide puhul kuvatakse error.log leidis järgmise rea:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

See paneb mind arvama, et vale kujutiste üleslaadimine tehti selle pistikprogrammi kaudu. Viga tekib kõigepealt fastcgi PORT vea tõttu.
Oluline märkus on see, et see pahavara / WordPress ei võta serveris PHP versiooni tegelikult arvesse. Ma leidsin selle mõlemad PHP 5.6.40 ja PHP 7.1.30.

Artiklit värskendatakse, kui me lisateavet php.php_.php7_.gif pahavara faili kohta leiate andmekandja →  Raamatukogu.

Jäta vastus

teie e-posti address ei avaldata. Kohustuslikud väljad on märgitud *

Kokku
0
Aktsiad
Eelmine artikkel

502 Bad Gateway / Cloudflare Down - kuidas parandada

Järgmine artikkel

Kuidas tühistada märkeruut "Saada eri address "Woocommerce'i Checkouti lehelt