Наскоро ми беше съобщено нещо странно на няколко сайта WordPress.
Проблемни данни php.php_.php7_.gif
Тайнственият вид на .gif изображения с черен "X" на розов фон. Във всички случаи файлът беше наречен "php.php_.php7_.gif", Навсякъде еднакви свойства. Интересното е, че този файл не е качен от конкретен потребител / автор. "Качено от: (без автор)".
Име на файла: php.php_.php7_.gif
Тип на файла: изображение / GIF
Качено на: Юли 11, 2019
Размер на файла:
Размери: 300 от 300 пиксела
Заглавие: php.php_.php7_
Качено от: (без автор)
By default, този .GIF файл, който изглежда така съдържа скрипт, е заредена на сървъра текущата папка за качване от хронологията. В дадените случаи: / Корен / WP-съдържание / добавени / 2019 / 07 /.
Друго интересно нещо е, че основният файл php.php_.php7_.gif, който е качен на сървъра, не може да бъде отворен от редактор на снимки. Визуализация, Photoshop или друг. Вместо това, умалените снимки(икони), направени автоматично от WordPress на няколко размера, .gifs са напълно функционални и могат да се отварят. Черно "X" на розов фон.
Какво е "php.php_.php7_.gif" и как да се отървете от тези подозрителни файлове?
Най-вероятно ще изтриете тези файлове зловреден софтуер / вируси, не е решение, ако се ограничим само до това. Със сигурност php.php_.php7_.gif не е легитимен файл на WordPress или създаден от плъгин.
На уеб сървър може лесно да се идентифицира, ако имаме Linux Откриване на зловреден софтуер инсталиран. Антивирусният / анти-зловредният софтуер на „maldet„Веднага го открих като вирус от типа:“{YARA} php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Силно се препоръчва да имате такъв антивирусна на уеб сървъра и да я актуализирате до момента, Освен това, антивирусната програма е настроена за постоянно наблюдение на промените в уеб файлове.
Версия на WordPress и всички модули (плъгини) също се актуализират. От това, което видях, всички сайтове WordPress заразен с php.php_.php7_.gif имат като общ елемент приставката "WP Review". Приставка, която наскоро получи актуализация, в чийто списък с промени намираме: Фиксиран проблем с уязвимостта.
За един от сайтовете, засегнати от този зловреден софтуер, в error.log намери следния ред:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Това ме кара да мисля, че качването на фалшиви изображения е направено чрез този плъгин. Първата грешка възниква от грешка на fastcgi PORT.
Важно споменаване е, че този вирус / WordPress зловредният софтуер не обръща много внимание на версията на PHP на сървъра. Намерих и двете PHP 5.6.40 и PHP 7.1.30.
Статията ще бъде актуализирана, когато научим повече за файла php.php_.php7_.gif, който се намира в Материали → Библиотека.
