php.php_.php7_.gif - шкідливе програмне забезпечення WordPress (зображення Pink X у медіатеці)

Нещодавно мені було повідомлено про декілька сайтів з WordPress.

Проблемні дані php.php_.php7_.gif

Загадковий вигляд a .gif зображення з чорним "Х" на рожевому фоні. У всіх випадках файл називався "php.php_.php7_.gif", Маючи скрізь однакові властивості. Цікаво, що цей файл не був завантажений певним користувачем / автором. "Завантажено користувачем: (без автора)».

Файл: php.php_.php7_.gif
Тип файлу: зображення / GIF
Завантажено: Липень 11, 2019
Розмір файлу:
розміри: 300 на 300 пікселів
назва: php.php_.php7_
Завантажено: (без автора)

За умовчанням цей файл .GIF виглядає як a містить сценарій, завантажується на сервер в поточну папку завантажень з хронології. У даних випадках: / Root / WP-зміст / додавання / 2019 / 07 /.
Ще одна цікава річ, що базовий файл php.php_.php7_.gif, завантажений на сервер, не може бути відкритий редактором фотографій. Попередній перегляд, Photoshop або будь-який інший. Замість цього слайдами(піктограми), зроблені WordPress автоматично в декількох вимірах, є ідеально функціональними .gifs і їх можна відкрити. Чорний «Х» на рожевому фоні.

Що таке "php.php_.php7_.gif" і як ми можемо позбутися цих підозрілих файлів?

Швидше за все, видаліть ці файли шкідливих програм / вірус, це не рішення, якщо ми обмежимося саме цим. Звичайно php.php_.php7_.gif не є легітимним файлом WordPress або створеним плагіном.
На веб-сервері його можна легко визначити, якщо у нас є Виявлення шкідливих програм для Linux  встановлений. Процес антивірусного / зловмисного програмного забезпечення “maldet"Відразу виявив його як вірус типу:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Дуже рекомендується мати один антивірус на веб-сервері та оновити його на сьогоднішній день, Крім того, антивірус налаштований на постійний моніторинг змін у веб-файлах.
Версія WordPress і все модулі (плагіни) також оновлюються, Наскільки я бачив, всі сайти WordPress заражені php.php_.php7_.gif мати загальним елементом плагін "РГ відгук". Плагін, який нещодавно отримав оновлення, в журналі змін якого ми знаходимо: Виправлена ​​проблема уразливості.

Для одного з сайтів, на які впливає ця зловмисна програма, у error.log було знайдено такий рядок:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Це змушує мене думати, що завантаження помилкових зображень було зроблено через цей плагін. Помилка спочатку виникає внаслідок помилки порту fastcgi PORT.
Важливо відзначити, що ця шкідлива програма / WordPress насправді не враховує версію PHP на сервері. Я знайшов його обидва PHP 5.6.40 і PHP 7.1.30.

Стаття оновлюватиметься, коли ми дізнаємося більше про файл php.php_.php7_.gif, який існує в Засоби масової інформації →  бібліотека.

php.php_.php7_.gif - шкідливе програмне забезпечення WordPress (зображення Pink X у медіатеці)

Про автора

Хитрість

Захоплений усім гаджетом та ІТ, я із задоволенням пишу на стелсsettings.com з 2006 року, і я хотів би відкрити з вами нові речі про комп’ютери та операційні системи macOS, Linux, Windows, iOS та Android.

Залишити коментар