php.php_.php7_.gif - Zlonamjerni softver WordPress (Pink X slika u biblioteci medija)

Nedavno mi je na nekoj web-lokaciji prijavljeno nešto čudno WordPress.

Podaci o problemu php.php_.php7_.gif

Tajanstveni izgled a .gif slike s crnim "X" na ružičastoj pozadini, U svim je slučajevima datoteka nazvana "php.php_.php7_.gif", Imajući ista svojstva svugdje." Zanimljivo je da ovu datoteku nije učitao određeni korisnik / autor. "Prenio korisnik: (bez autora)".

Naziv datoteke: php.php_.php7_.gif
Vrsta datoteke: Slika / gif
Preneseno na: Srpanj 11, 2019
Veličina datoteke:
Dimenzije: 300 prema 300 piksela
Naziv nekretnine: php.php_.php7_
Poslao By: (bez autora)

Prema zadanim postavkama, ova .GIF datoteka izgleda kao sadrži skriptu, učitava se na poslužitelju u trenutne mape za prijenos iz kronologije. U danim slučajevima: / Root / wp-sadržaja / slike / 2019 / 07 /.
Još jedna zanimljivost je da osnovnu datoteku, php.php_.php7_.gif, koju ste učitali na poslužitelj, ne može otvoriti urednik fotografija. Pregled, Photoshop ili bilo koji drugi. umjesto toga, thumbnail(ikone) koje automatski izrađuju WordPress na više veličina, savršeno funkcioniraju i mogu se otvoriti. Crno "X" na ružičastoj pozadini.

Što je "php.php_.php7_.gif" i kako se možemo riješiti tih sumnjivih datoteka

Najvjerojatnije izbrišite te datoteke malware / virus, to nije rješenje ako se ograničimo na to. Naravno php.php_.php7_.gif nije legitimna WordPress datoteka ili stvorena dodatkom.
Na web poslužitelju može se lako identificirati ako imamo Otkrivanje malwarea na Linuxu instaliran. Proces anti-virus / anti-malware od "maldet"Odmah ga je otkrio kao tip virusa:"{Yara} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Preporučuje se da ga imate antivirusni program na web poslužitelju i ažurirajte ga do danas, Osim toga, antivirus je postavljen da trajno prati promjene web-datoteka.
Verzija WordPressa a sve moduli (dodatci) također se ažuriraju, Koliko sam vidio, sve WordPress stranice zaražene php.php_.php7_.gif imaju uobičajeni element dodatka "WP Review”. Dodatak koji je upravo primio ažuriranje u popisu izmjena nalazimo: Fixed problem ranjivosti.

Za jednu od web-lokacija na koje se odnosi ovaj zlonamjerni softver, u datoteci error.log pronađen je sljedeći redak:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Mislim da je učitavanje lažnih slika napravljeno putem ovog dodatka. Pogreška prvo proizlazi iz fastcgi PORT pogreške.
Važno je napomenuti da ovaj malware / WordPress zapravo ne uzima u obzir PHP verziju na poslužitelju. Našao sam ga oboje PHP 5.6.40 i PHP 7.1.30.

Članak će biti ažuriran kada saznamo više o php.php_.php7_.gif datoteci zlonamjernog softvera MedijKnjižnica.

php.php_.php7_.gif - Zlonamjerni softver WordPress (Pink X slika u biblioteci medija)

O autoru

potajno

Strastveni o svemu što gadget i pisati rado stealthsettings.com od 2006 i volim otkrivati ​​nove stvari s vama o računalima i MacOS, Linux, Windows, iOS i Android.

Ostavite komentar