php.php_.php7_.gif - WordPress-haittaohjelmat (Pink X -kuva mediakirjastossa)

Kummallisesta asiasta kerrottiin äskettäin usealla sivustolla WordPress.

Ongelmatiedot php.php_.php7_.gif

Salaperäinen ulkonäkö a .gif kuvia, joissa on musta "X" vaaleanpunaisella taustalla. Kaikissa tapauksissa tiedosto on nimetty "php.php_.php7_.gif", Joilla on samat ominaisuudet kaikkialla. Mielenkiintoinen osa on, että tietyn käyttäjän / tekijän ei ole ladannut tätä tiedostoa. "Lähettänyt: (ei kirjoittajaa)".

File name: php.php_.php7_.gif
Tiedostotyyppi: image / gif
Ladattu: Heinäkuu 11, 2019
Tiedoston koko:
Mitat: 300 300-pikseleillä
otsikko: php.php_.php7_
Lähetetty: (ei kirjoittajaa)

Oletuksena tämä .GIF-tiedosto näyttää olevan a sisältää komentosarjan, ladataan palvelimeen nykyinen latauskansio kronologiasta. Näissä tapauksissa: / Root / wp-content / lisäykset / 2019 / 07 /.
Toinen mielenkiintoinen asia on se, että valokuva-editori ei voi avata palvelimelle ladattua perustiedostoa php.php_.php7_.gif. Esikatselu, Photoshop tai muu. Sen sijaan, thumbnail(kuvakkeet), jotka WordPress tekee automaattisesti useille koot, ovat täysin toimivia .gifs ja ne voidaan avata. "X" musta vaaleanpunaisella taustalla.

Mikä on php.php_.php7_.gif ja miten voimme päästä eroon näistä epäilyttävistä tiedostoista

Poista nämä tiedostot todennäköisimmin haittaohjelmat / virus, se ei ole ratkaisu, jos rajoittumme vain siihen. Toki php.php_.php7_.gif ei ole laillinen WordPress-tiedosto tai pluginin luomaa.
Verkkopalvelimessa se voidaan helposti tunnistaa, jos meillä on Linux-haittaohjelma tunnistaa asennettu. Virustorjunta / haittaohjelmien torjunta -prosessimaldet"Tunnisti sen välittömästi tyypin virukseksi:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

On erittäin suositeltavaa saada se virustentorjunta web-palvelimella ja päivittää se tähän mennessä. Lisäksi virustorjunta on asetettu seuraamaan Web-tiedostojen muutoksia pysyvästi.
WordPress-versio ja kaikki moduulit (plugins) myös päivittyvät. Sikäli kuin minä näin, kaikki WordPress-sivustot tartunnan saaneet php.php_.php7_.gif on yhteinen plugin-elementti "WP Review". Plugin, joka sai juuri päivityksen löytämässämme muutoksessa Korjattu haavoittuvuusongelma.

Yhdelle sivustolle, johon tämä haittaohjelma vaikuttaa, error.logissa löytyi seuraava rivi:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Se saa minut ajattelemaan, että väärien kuvien lataaminen tehtiin tämän laajennuksen kautta. Virhe johtuu ensin fastcgi PORT-virheestä.
Tärkeää on, että tämä haittaohjelma / WordPress ei todellakaan ota huomioon palvelimen PHP-versiota. Löysin sen molemmat PHP 5.6.40 ja PHP 7.1.30.

Artikkeli päivitetään, kun saamme lisätietoja php.php_.php7_.gif-haittaohjelmatiedostosta tiedotusvälineetKirjasto.

php.php_.php7_.gif - WordPress-haittaohjelmat (Pink X -kuva mediakirjastossa)

Kirjailijasta

Stealth

Innostunut kaikesta, mikä tarkoittaa gadgetia ja IT: tä, olen ilo kirjoittaa stealthsettings.com-sivustolle 2006: stä ja rakastan löytää uusia asioita tietokoneista ja macOSista, Linux-käyttöjärjestelmistä, Windows, iOS ja Android.

Jätä kommentti