Kummallisesta asiasta kerrottiin äskettäin usealla sivustolla WordPress.
Ongelmatiedot php.php_.php7_.gif
Salaperäinen ulkonäkö a .gif-kuvat, joissa on musta "X" vaaleanpunaisella pohjalla. Kaikissa tapauksissa tiedoston nimi oli "php.php_.php7_.gif", Joilla on samat ominaisuudet kaikkialla. Mielenkiintoinen osa on, että tietty tiedosto / kirjailija ei ole ladannut tätä tiedostoa. "Lähettänyt: (ei kirjoittajaa)".
File name: php.php_.php7_.gif
Tiedostotyyppi: image / gif
Ladattu: Heinäkuu 11, 2019
Tiedoston koko:
Mitat: 300 300-pikseleillä
Otsikko: php.php_.php7_
Lähetetty: (ei kirjoittajaa)
By default, tämä .GIF-tiedosto, joka näyttää tältä sisältää komentosarjan, ladataan palvelimeen nykyinen latauskansio kronologiasta. Näissä tapauksissa: / Root / wp-content / lisäykset / 2019 / 07 /.
Toinen mielenkiintoinen asia on se, että valokuva-editori ei voi avata palvelimelle ladattua perustiedostoa php.php_.php7_.gif. Esikatselu, Photoshop tai muu. Sen sijaan, thumbnail(kuvakkeet), jonka on tehnyt automaattisesti WordPress Useissa koossa .gifit ovat täysin toimivia ja avattavissa. Musta "X" vaaleanpunaisella taustalla.
Mikä on "php.php_.php7_.gif" ja kuinka päästä eroon näistä epäilyttävistä tiedostoista?
Poista nämä tiedostot todennäköisimmin haittaohjelmat / virus, ei ole ratkaisu, jos rajoitamme vain siihen. Varmasti php.php_.php7_.gif ei ole laillinen tiedosto WordPress tai lisäosan luoma.
Verkkopalvelimessa se voidaan helposti tunnistaa, jos meillä on Linux Haittaohjelmien tunnistus asennettu. Viruksen / haittaohjelmien torjuntamaldet"Havaitsi sen välittömästi tämän tyyppisenä viruksena:"{YARA} php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
On erittäin suositeltavaa saada se virustentorjunta web-palvelimella ja päivittää se tähän mennessä. Lisäksi virustorjunta on asetettu seuraamaan Web-tiedostojen muutoksia pysyvästi.
Versio WordPress ja kaikki moduulit (plugins) myös päivittyvät. Sen perusteella, mitä olen nähnyt, kaikki sivustot WordPress saanut tartunnan taudista php.php_.php7_.gif on yleisenä elementtinä laajennus "WP Review". Laajennus, joka sai äskettäin päivityksen, jonka muutoslokista löydämme: Korjattu haavoittuvuusongelma.
Yhden tämän haittaohjelman kohteena olevan sivuston kohdalla error.log löysi seuraavan rivin:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Se saa minut ajattelemaan, että väärien kuvien lataaminen tehtiin tämän laajennuksen kautta. Virhe johtuu ensin fastcgi PORT-virheestä.
Tärkeä maininta on, että tämä virus / WordPress haittaohjelmat eivät kiinnitä paljon huomiota palvelimen PHP-versioon. Löysin molemmat PHP 5.6.40 ja PHP 7.1.30.
Artikkeli päivitetään, kun saamme lisätietoja php.php_.php7_.gif-haittaohjelmatiedostosta Media → Kirjasto.
