php.php_.php7_.gif - WordPress Шкідливе програмне забезпечення (зображення Pink X у медіа-бібліотеці)

Нещодавно мені було повідомлено про декілька сайтів з WordPress.

Проблемні дані php.php_.php7_.gif

Загадковий вигляд a .gif зображення з чорним "Х" на рожевому фоні. У всіх випадках файл називався "php.php_.php7_.gif", Маючи скрізь однакові властивості. Цікаво, що цей файл не був завантажений певним користувачем / автором. "Завантажено користувачем: (без автора)».

Файл: php.php_.php7_.gif
Тип файлу: зображення / GIF
Завантажено: Липень 11, 2019
Розмір файлу:
розміри: 300 на 300 пікселів
назва: php.php_.php7_
Завантажено: (без автора)

By default, цей файл .GIF, який виглядає так містить сценарій, завантажується на сервер в поточну папку завантажень з хронології. У даних випадках: / Root / WP-зміст / додавання / 2019 / 07 /.
Ще одна цікава річ, що базовий файл php.php_.php7_.gif, завантажений на сервер, не може бути відкритий редактором фотографій. Попередній перегляд, Photoshop або будь-який інший. Замість цього слайдами(значки), створені автоматично WordPress для кількох розмірів файли .gif ідеально функціональні і їх можна відкрити. Чорний «X» на рожевому фоні.

Що таке "php.php_.php7_.gif" і як ми можемо позбутися цих підозрілих файлів?

Швидше за все, видаліть ці файли шкідливих програм / вірус, не є рішенням, якщо ми обмежимося лише цим. Звичайно, php.php_.php7_.gif не є законним файлом WordPress або створений за допомогою плагіна.
На веб-сервері його можна легко визначити, якщо у нас є Linux Виявлення шкідливих програм  встановлений. Процес антивірусного / зловмисного програмного забезпечення “maldet"Відразу виявив його як вірус типу:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Дуже рекомендується мати один антивірус на веб-сервері та оновити його на сьогоднішній день, Крім того, антивірус налаштований на постійний моніторинг змін у веб-файлах.
Версія о WordPress і все модулі (плагіни) також оновлюються. З того, що я бачив, усі сайти WordPress заражений php.php_.php7_.gif мати загальним елементом плагін "РГ відгук". Плагін, який нещодавно отримав оновлення, в журналі змін якого ми знаходимо: Виправлена ​​проблема уразливості.

Для одного із сайтів, на які впливає це шкідливе програмне забезпечення, у error.log знайшов такий рядок:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Це змушує мене думати, що завантаження помилкових зображень було зроблено через цей плагін. Помилка спочатку виникає внаслідок помилки порту fastcgi PORT.
Важливо згадати, що цей вірус / WordPress шкідливі програми не звертають особливої ​​уваги на версію PHP на сервері. Я знайшов обидва PHP 5.6.40 і PHP 7.1.30.

Стаття оновлюватиметься, коли ми дізнаємося більше про файл php.php_.php7_.gif, який існує в Медіа →  бібліотека.

Захоплений технологіями, з 2006 року з радістю пишу на StealthSettings.com. Маю багаторічний досвід роботи з операційними системами: macOS, Windows і Linux, а також з мовами програмування і платформами для блогів (WordPress) та онлайн-магазинів (WooCommerce, Magento, PrestaShop).

Як записатися » Антивірус та безпека » php.php_.php7_.gif - WordPress Шкідливе програмне забезпечення (зображення Pink X у медіа-бібліотеці)
Залишити коментар