php.php_.php7_.gif - Malware на WordPress (розово изображение X в библиотеката на медиите)

Наскоро ми беше съобщено нещо странно на няколко сайта WordPress.

Проблемни данни php.php_.php7_.gif

Тайнственият вид на .gif изображения с черен "X" на розов фон, Във всички случаи файлът е на име "php.php_.php7_.gif", Имащи същите свойства навсякъде." Интересното е, че този файл не е качен от конкретен потребител / автор. "Качено от: (без автор)".

Име на файла: php.php_.php7_.gif
Тип на файла: изображение / GIF
Качено на: Юли 11, 2019
Размер на файла:
Размери: 300 от 300 пиксела
Заглавие: php.php_.php7_
Качено от: (без автор)

По подразбиране този .GIF файл изглежда съдържа скрипт, е заредена на сървъра текущата папка за качване от хронологията. В дадените случаи: / Корен / WP-съдържание / добавени / 2019 / 07 /.
Друго интересно нещо е, че основният файл php.php_.php7_.gif, който е качен на сървъра, не може да бъде отворен от редактор на снимки. Визуализация, Photoshop или друг. Вместо това, умалените снимки(икони), направени автоматично от WordPress на няколко размера, са напълно функциониращи .gifs и могат да бъдат отваряни. Черно "Х" на розов фон.

Какво представлява "php.php_.php7_.gif" и как можем да се отървем от тези подозрителни файлове

Най-вероятно ще изтриете тези файлове зловреден софтуер / вируси, това не е решение, ако се ограничим само до това. Разбира се php.php_.php7_.gif не е легитимен WordPress файл или е създаден от плъгин.
На уеб сървър може лесно да се идентифицира, ако имаме Откриване на злонамерен софтуер в Linux инсталирани. Антивирусният / анти-зловреден софтуерmaldet"Веднага го открих като вирус тип:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Силно се препоръчва да имате такъв антивирусна на уеб сървъра и да я актуализирате до момента, Освен това, антивирусната програма е настроена за постоянно наблюдение на промените в уеб файлове.
Версията на WordPress и всички модули (плъгини) също се актуализират, Доколкото видях, всички сайтове на WordPress, заразени с php.php_.php7_.gif имат общ елемент на приставка "WP Review". Приставката, която току-що получи актуализация в списъка за промени, ние намираме: Фиксиран проблем с уязвимостта.

За един от сайтовете, засегнати от този злонамерен софтуер, в error.log бе намерен следният ред:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Това ме кара да мисля, че качването на фалшиви изображения е направено чрез този плъгин. Първата грешка възниква от грешка на fastcgi PORT.
Важна забележка е, че този зловреден софтуер / WordPress не взема предвид PHP версията на сървъра. Намерих и двете PHP 5.6.40 и PHP 7.1.30.

Статията ще бъде актуализирана, когато научим повече за файла php.php_.php7_.gif, който се намира в средстваБиблиотека.

php.php_.php7_.gif - Malware на WordPress (розово изображение X в библиотеката на медиите)

За автора

Хитрост

Страстен за всичко, което означава джаджа и IT, с удоволствие пиша на stealthsettings.com от 2006 и обичам да откривам нови неща за компютрите и macOS, Linux операционните системи, Windows, iOS и Android.

Оставете коментар