php.php_.php7_.gif - WordPress Zlonamjerni softver (Pink X slika u biblioteci medija)

Nedavno mi je na nekoj web-lokaciji prijavljeno nešto čudno WordPress.

Podaci o problemu php.php_.php7_.gif

Tajanstveni izgled a .gif slike s crnim "X" na ružičastoj pozadini. U svim slučajevima datoteka je nazvana "php.php_.php7_.gif", Imajući svugdje ista svojstva. Zanimljivo je da ovu datoteku nije prenio određeni korisnik / autor. "Prenio korisnik: (bez autora)".

Naziv datoteke: php.php_.php7_.gif
Vrsta datoteke: Slika / gif
Preneseno na: Srpanj 11, 2019
Veličina datoteke:
Dimenzije: 300 prema 300 piksela
Označite: php.php_.php7_
Poslao By: (bez autora)

By default, ova .GIF datoteka koja izgleda sadrži skriptu, učitava se na poslužitelju u trenutne mape za prijenos iz kronologije. U danim slučajevima: / Root / wp-sadržaja / slike / 2019 / 07 /.
Još jedna zanimljivost je da osnovnu datoteku, php.php_.php7_.gif, koju ste učitali na poslužitelj, ne može otvoriti urednik fotografija. Pregled, Photoshop ili bilo koji drugi. umjesto toga, thumbnail(ikone) napravljene automatski od strane WordPress na nekoliko veličina, .gifovi su savršeno funkcionalni i mogu se otvoriti. Crni "X" na ružičastoj pozadini.

Što je "php.php_.php7_.gif" i kako se riješiti tih sumnjivih datoteka?

Najvjerojatnije izbrišite te datoteke malware / virus, nije rješenje ako se samo na to ograničimo. Svakako php.php_.php7_.gif nije legitimna datoteka WordPress ili kreiran dodatkom.
Na web poslužitelju može se lako identificirati ako imamo Linux Otkrivanje zlonamjernog softvera  instaliran. Proces antivirusnog / zlonamjernog softvera "maldet"Odmah ga otkrio kao virus vrste:"{Yara} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Preporučuje se da ga imate antivirusni program na web poslužitelju i ažurirajte ga do danas, Osim toga, antivirus je postavljen da trajno prati promjene web-datoteka.
Verzija od WordPress a sve moduli (dodatci) također se ažuriraju. Koliko sam vidio, sve stranice WordPress zaražen php.php_.php7_.gif imaju kao zajednički element dodatak "WP Review". Dodatak koji je nedavno primio ažuriranje u čijem popisu promjena nalazimo: Fixed problem ranjivosti.

Za jednu od web lokacija pogođenih ovim zlonamjernim softverom, u error.log pronašao je sljedeći redak:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Mislim da je učitavanje lažnih slika napravljeno putem ovog dodatka. Pogreška prvo proizlazi iz fastcgi PORT pogreške.
Važno je spomenuti da ovaj virus / WordPress zlonamjerni softver ne obraća puno pažnje na verziju PHP-a na poslužitelju. Našao sam oboje PHP 5.6.40PHP 7.1.30.

Članak će biti ažuriran kada saznamo više o php.php_.php7_.gif datoteci zlonamjernog softvera Medij →  Knjižnica.

Strastveni zaljubljenik u tehnologiju, s veseljem pišem na StealthSettings.com od 2006. godine. Imam bogato iskustvo s operativnim sustavima: macOS, Windows i Linux, kao i s programskim jezicima i platformama za bloganje (WordPress) i za internetske trgovine (WooCommerce, Magento, PrestaShop).

kako » AntiVirus i sigurnost » php.php_.php7_.gif - WordPress Zlonamjerni softver (Pink X slika u biblioteci medija)
Ostavite komentar