php.php_.php7_.gif - Λογισμικό κακόβουλου λογισμικού WordPress (ροζ X εικόνα στη βιβλιοθήκη πολυμέσων)

Ένα παράξενο πράγμα μου αναφέρθηκε πρόσφατα σε αρκετές περιοχές με WordPress.

Δεδομένα προβλήματος php.php_.php7_.gif

Η μυστηριώδης εμφάνιση ενός α .gif εικόνες με μαύρο "X" σε ροζ φόντο. Σε όλες τις περιπτώσεις, το αρχείο ονομάστηκε "php.php_.php7_.gif", Έχοντας τις ίδιες ιδιότητες παντού. Το ενδιαφέρον κομμάτι είναι ότι αυτό το αρχείο δεν έχει μεταφορτωθεί από συγκεκριμένο χρήστη / συγγραφέα. "Ανέβηκε από: (δεν συντάκτης)".

Όνομα αρχείου: php.php_.php7_.gif
Τύπος αρχείου: image / gif
Μεταφορτωμένο στις: Ιούλιος 11, 2019
Μέγεθος αρχείου:
Διαστάσεις: 300 από 300 εικονοστοιχεία
Τίτλος: php.php_.php7_
Μεταφορτώθηκε από: (χωρίς συγγραφέα)

Από προεπιλογή, αυτό το αρχείο .GIF φαίνεται να είναι a περιέχει ένα σενάριο, φορτώνεται στο διακομιστή στο τον τρέχοντα φάκελο μεταφορτώσεων από τη χρονολόγηση. Στις συγκεκριμένες περιπτώσεις: / Root / wp-content / uploads / 2019 / 07 /.
Ένα άλλο ενδιαφέρον πράγμα είναι ότι το αρχείο βασικό php.php_.php7_.gif, ο οποίος τέθηκε στο διακομιστή δεν μπορεί να ανοίξει ένα πρόγραμμα επεξεργασίας φωτογραφιών. Προεπισκόπηση, Photoshop ή οποιαδήποτε άλλη. Αντ 'αυτού, thumbnail(εικονίδια) που έγιναν αυτόματα από το WordPress σε πολλαπλά μεγέθη, λειτουργούν άριστα .gifs και μπορούν να ανοίξουν. Ένα "Χ" μαύρο σε ροζ φόντο.

Τι είναι το "php.php_.php7_.gif" και πώς μπορούμε να απαλλαγούμε από αυτά τα ύποπτα αρχεία

Διαγράψτε αυτά τα αρχεία κατά πάσα πιθανότητα malware / ιός, δεν είναι λύση αν περιοριζόμαστε μόνο σε αυτό. Σίγουρα php.php_.php7_.gif δεν είναι ένα νόμιμο αρχείο WordPress ή δημιουργήθηκε από ένα plugin.
Σε έναν διακομιστή ιστού μπορεί εύκολα να εντοπιστεί εάν έχουμε Ανίχνευση κακόβουλου λογισμικού Linux εγκατασταθεί. Η διαδικασία κατά του ιού / κακόβουλου λογισμικού της "maldet"Εντοπίστηκε αμέσως ως ιός τύπου:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Συνιστάται ιδιαίτερα να έχετε ένα antivirus στο διακομιστή ιστού και να το ενημερώσετε μέχρι σήμερα. Επιπλέον, το antivirus έχει οριστεί για να παρακολουθεί μόνιμα τις αλλαγές στα αρχεία web.
Η έκδοση του WordPress και όλα modules (plugins) επίσης να ενημερώνονται. Όσο έχω δει, όλες οι ιστοσελίδες του WordPress έχουν μολυνθεί php.php_.php7_.gif έχουν ως κοινό στοιχείο προσθήκης "WP Review». Plugin που μόλις έλαβε μια ενημέρωση στον changelog που βρίσκουμε: Σταθερό ζήτημα ευπάθειας.

Για έναν από τους ιστότοπους που επηρεάζονται από αυτό το κακόβουλο λογισμικό, στο error.log βρέθηκε η ακόλουθη γραμμή:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Με κάνει να σκεφτώ ότι η φόρτωση ψευδών εικόνων έγινε μέσω αυτής της προσθήκης. Το σφάλμα προκύπτει πρώτα από ένα σφάλμα PORT fastcgi.
Μια σημαντική σημείωση είναι ότι αυτό το malware / WordPress δεν λαμβάνει πραγματικά υπόψη την έκδοση PHP στο διακομιστή. Βρήκα και τα δύο PHP 5.6.40 και η PHP 7.1.30.

Το άρθρο θα ενημερωθεί καθώς θα μάθετε περισσότερα σχετικά με το αρχείο php.php_.php7_.gif που υπάρχει στο μέσα ενημέρωσηςΒιβλιοθήκη.

php.php_.php7_.gif - Λογισμικό κακόβουλου λογισμικού WordPress (ροζ X εικόνα στη βιβλιοθήκη πολυμέσων)

Σχετικά με τον Συγγραφέα

Λαθραία

Παθιασμένος με όλα όσα σημαίνει gadget και IT, γράφω με χαρά στο stealthsettings.com από το 2006 και μου αρέσει να ανακαλύπτω νέα πράγματα μαζί σας για τους υπολογιστές και τα macOS, λειτουργικά συστήματα Linux, Windows, iOS και Android.

Αφήστε ένα σχόλιο