php.php_.php7_.gif - WordPress злонамерен софтуер (Pink X Image в медийна библиотека)

Наскоро ми беше съобщено нещо странно на няколко сайта WordPress.

Проблемни данни php.php_.php7_.gif

Тайнственият вид на .gif изображения с черен "X" на розов фон. Във всички случаи файлът беше наречен "php.php_.php7_.gif", Навсякъде еднакви свойства. Интересното е, че този файл не е качен от конкретен потребител / автор. "Качено от: (без автор)".

File име: php.php_.php7_.gif
File тип: изображение / GIF
Качено на: Юли 11, 2019
File размер:
Размери: 300 от 300 пиксела
Заглавие: php.php_.php7_
Качено от: (без автор)

By default, този .GIF файл, който изглежда така съдържа скрипт, е заредена на сървъра текущата папка за качване от хронологията. В дадените случаи: / Корен / WP-съдържание / добавени / 2019 / 07 /.
Друго интересно нещо е, че основният файл php.php_.php7_.gif, който е качен на сървъра, не може да бъде отворен от редактор на снимки. Визуализация, Photoshop или друг. Вместо това, умалените снимки(иконите), направени автоматично от WordPress в няколко измерения, са напълно функционални .gifs и могат да бъдат отворени. Черен "X" на розов фон.

Какво е "php.php_.php7_.gif" и как да се отървете от тези подозрителни файлове?

Най-вероятно ще изтриете тези файлове зловреден софтуер / вируси, това не е решение, ако се ограничим само до това. Разбира се php.php_.php7_.gif не е легитимен WordPress файл или е създаден от плъгин.
На уеб сървър може лесно да се идентифицира, ако имаме Откриване на злонамерен софтуер в Linux  инсталиран. Антивирусният / анти-зловредният софтуер на „maldet„Веднага го открих като вирус от типа:“{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Силно се препоръчва да имате такъв антивирусна на уеб сървъра и да я актуализирате до момента, Освен това, антивирусната програма е настроена за постоянно наблюдение на промените в уеб файлове.
Версията на WordPress и всички модули (плъгини) също се актуализират, Доколкото видях, всички сайтове на WordPress, заразени с php.php_.php7_.gif имат като общ елемент приставката "WP Review". Приставка, която наскоро получи актуализация, в чийто списък с промени намираме: Фиксиран проблем с уязвимостта.

За един от сайтовете, засегнати от този злонамерен софтуер, в error.log бе намерен следният ред:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Това ме кара да мисля, че качването на фалшиви изображения е направено чрез този плъгин. Първата грешка възниква от грешка на fastcgi PORT.
Важна забележка е, че този зловреден софтуер / WordPress не взема предвид PHP версията на сървъра. Намерих и двете PHP 5.6.40 и PHP 7.1.30.

Статията ще бъде актуализирана, когато научим повече за файла php.php_.php7_.gif, който се намира в средства →  Библиотека.

php.php_.php7_.gif - WordPress злонамерен софтуер (Pink X Image в медийна библиотека)

За автора

Хитрост

Страстен към всичко приспособление и IT, аз пиша с удоволствие в стелтsettings.com от 2006 г. и обичам да откривам с вас нови неща за компютрите и операционните системи macOS, Linux, Windows, iOS и Android.

Оставете коментар