php.php_.php7_.gif - шкідливі програми WordPress (рожеве зображення X у бібліотеці медіа)

Нещодавно мені було повідомлено про декілька сайтів з WordPress.

Проблемні дані php.php_.php7_.gif

Загадковий вигляд a .gif зображення з чорним "X" на рожевому фоні, У всіх випадках файл називався "php.php_.php7_.gif", Маючи однакові властивості скрізь. Цікава частина полягає в тому, що цей файл не був завантажений певним користувачем / автором. "Завантажено користувачем: (без автора)".

Файл: php.php_.php7_.gif
Тип файлу: зображення / GIF
Завантажено: Липень 11, 2019
Розмір файлу:
розміри: 300 на 300 пікселів
назва: php.php_.php7_
Завантажено: (без автора)

За умовчанням цей файл .GIF виглядає як a містить сценарій, завантажується на сервер в поточну папку завантажень з хронології. У даних випадках: / Root / WP-зміст / додавання / 2019 / 07 /.
Ще одна цікава річ, що базовий файл php.php_.php7_.gif, завантажений на сервер, не може бути відкритий редактором фотографій. Попередній перегляд, Photoshop або будь-який інший. Замість цього слайдами(іконки), зроблені автоматично WordPress на декількох розмірах, чудово функціонують .gifs і можуть бути відкриті. Чорний "X" на рожевому фоні.

Що таке "php.php_.php7_.gif" і як ми можемо позбутися цих підозрілих файлів

Швидше за все, видаліть ці файли шкідливих програм / вірус, це не рішення, якщо ми обмежимося саме цим. Звичайно php.php_.php7_.gif не є легітимним файлом WordPress або створеним плагіном.
На веб-сервері його можна легко визначити, якщо у нас є Виявлення шкідливих програм для Linux встановлено. Антивірусний / антивірусний процесmaldet"Негайно виявлено його як тип вірусу:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Дуже рекомендується мати один антивірус на веб-сервері та оновити його на сьогоднішній день, Крім того, антивірус налаштований на постійний моніторинг змін у веб-файлах.
Версія WordPress і все модулі (плагіни) також оновлюються, Наскільки я бачив, всі сайти WordPress заражені php.php_.php7_.gif мають як загальний елемент плагіна "РГ відгук». Плагін, який нещодавно отримав оновлення в списку змін, ми знаходимо: Виправлена ​​проблема уразливості.

Для одного з сайтів, на які впливає ця зловмисна програма, у error.log було знайдено такий рядок:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Це змушує мене думати, що завантаження помилкових зображень було зроблено через цей плагін. Помилка спочатку виникає внаслідок помилки порту fastcgi PORT.
Важливо відзначити, що ця шкідлива програма / WordPress насправді не враховує версію PHP на сервері. Я знайшов його обидва PHP 5.6.40 і PHP 7.1.30.

Стаття оновлюватиметься, коли ми дізнаємося більше про файл php.php_.php7_.gif, який існує в Засоби масової інформаціїбібліотека.

php.php_.php7_.gif - шкідливі програми WordPress (рожеве зображення X у бібліотеці медіа)

Про автора

Хитрість

Пристрасний про все, що гаджет і IT писати з задоволенням stealthsettings.com з 2006 і мені подобається відкривати нові речі з вами про комп'ютери та MacOS, Linux, Windows, прошивці і Android.

Залишити коментар