php.php_.php7_.gif - WordPress Złośliwe oprogramowanie (obraz różowy X w bibliotece multimediów)

Dziwna rzecz została niedawno zgłoszona do mnie na kilku stronach WordPress.

Dane problemowe php.php_.php7_.gif

Tajemniczy wygląd a Obrazy .gif z czarnym „X” na różowym tle. We wszystkich przypadkach plik miał nazwę „php.php_.php7_.gif", Mając wszędzie te same właściwości. Co ciekawe, ten plik nie został przesłany przez konkretnego użytkownika / autora. "Przesłane przez: (brak autora)".

Nazwa pliku: php.php_.php7_.gif
Typ pliku: image / gif
Przesłano dalej: 11 lipca 2019 r.
Rozmiar pliku:
Wymiary: 300 według pikseli 300
Tytuł: php.php_.php7_
Przesłane przez: (brak autora)

By default, ten plik .GIF, który wygląda jak zawiera skrypt, jest ładowany na serwer w bieżący folder przesyłania z chronologii. W danych przypadkach: / Root / wp-content / uploads / 2019 / 07 /.
Inną interesującą rzeczą jest to, że plik bazowy, php.php_.php7_.gif, który został przesłany na serwer, nie może zostać otwarty przez edytor zdjęć. Podgląd, Photoshop lub inne. Zamiast tego miniatur(ikony) tworzone automatycznie przez WordPress w kilku rozmiarach pliki .gif są doskonale funkcjonalne i można je otwierać. Czarny „X” na różowym tle.

Co to jest „php.php_.php7_.gif” i jak możemy pozbyć się tych podejrzanych plików?

Najprawdopodobniej usuń te pliki malware / wirus, nie jest rozwiązaniem, jeśli ograniczamy się tylko do tego. Z pewnością php.php_.php7_.gif nie jest prawidłowym plikiem WordPress lub utworzone przez wtyczkę.
Na serwerze internetowym można go łatwo zidentyfikować, jeśli mamy Linux Wykrywanie złośliwego oprogramowania  zainstalowany. Proces antywirusowy / chroniący przed złośliwym oprogramowaniem „maldet„Natychmiast wykryłem go jako wirusa typu:”{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Zaleca się mieć taki program antywirusowy na serwerze internetowym i zaktualizuj go do tej pory, Ponadto program antywirusowy jest ustawiony na stałe monitorowanie zmian w plikach internetowych.
Wersja WordPress i wszystko moduły (wtyczki) również zostaną zaktualizowane. Z tego, co widziałem, wszystkie strony WordPress zainfekowany php.php_.php7_.gif mają jako wspólny element wtyczkę „WP Recenzja”. Wtyczka, która niedawno otrzymała aktualizację, w której dzienniku zmian znajdujemy: Naprawiono problem z luką.

W przypadku jednej z witryn dotkniętych tym złośliwym oprogramowaniem w error.log znalazł następujący wiersz:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

To sprawia, że ​​myślę, że przesyłanie fałszywych obrazów zostało dokonane za pomocą tej wtyczki. Błąd najpierw wynika z błędu PORT fastcgi.
Ważną wzmianką jest to, że ten wirus / WordPress malware nie zwraca uwagi na wersję PHP na serwerze. Znalazłem oba PHP 5.6.40 oraz PHP 7.1.30.

Artykuł zostanie zaktualizowany, ponieważ dowiemy się więcej o pliku złośliwego oprogramowania php.php_.php7_.gif znajdującym się w Media →  Biblioteka.

Pasjonat technologii, z przyjemnością piszę na StealthSettings.com od 2006 roku. Mam bogate doświadczenie w systemach operacyjnych: macOS, Windows i Linux, a także w językach programowania oraz platformach blogowych (WordPress) i dla sklepów internetowych (WooCommerce, Magento, PrestaShop).

jak » Antywirus i bezpieczeństwo » php.php_.php7_.gif - WordPress Złośliwe oprogramowanie (obraz różowy X w bibliotece multimediów)
Zostaw komentarz