php.php_.php7_.gif - Λογισμικό κακόβουλου λογισμικού WordPress (ροζ X εικόνα στη βιβλιοθήκη πολυμέσων)

Ένα παράξενο πράγμα μου αναφέρθηκε πρόσφατα σε αρκετές περιοχές με WordPress.

Δεδομένα προβλήματος php.php_.php7_.gif

Η μυστηριώδης εμφάνιση ενός α .gif εικόνες με μαύρο "X" σε ροζ φόντο. Σε όλες τις περιπτώσεις, το αρχείο ονομάστηκε "php.php_.php7_.gif", Έχοντας τις ίδιες ιδιότητες παντού. Το ενδιαφέρον κομμάτι είναι ότι αυτό το αρχείο δεν έχει μεταφορτωθεί από συγκεκριμένο χρήστη / συγγραφέα. "Ανέβηκε από: (δεν συντάκτης)".

Όνομα αρχείου: php.php_.php7_.gif
Τύπος αρχείου: image / gif
Μεταφορτωμένο στις: Ιούλιος 11, 2019
Μέγεθος αρχείου:
Διαστάσεις: 300 από 300 εικονοστοιχεία
Τίτλος: php.php_.php7_
Μεταφορτώθηκε από: (χωρίς συγγραφέα)

Από προεπιλογή, αυτό το αρχείο .GIF φαίνεται να είναι a περιέχει ένα σενάριο, φορτώνεται στο διακομιστή στο τον τρέχοντα φάκελο μεταφορτώσεων από τη χρονολόγηση. Στις συγκεκριμένες περιπτώσεις: / Root / wp-content / uploads / 2019 / 07 /.
Ένα άλλο ενδιαφέρον πράγμα είναι ότι το αρχείο βασικό php.php_.php7_.gif, ο οποίος τέθηκε στο διακομιστή δεν μπορεί να ανοίξει ένα πρόγραμμα επεξεργασίας φωτογραφιών. Προεπισκόπηση, Photoshop ή οποιαδήποτε άλλη. Αντ 'αυτού, thumbnail(εικονίδια) που έγιναν αυτόματα από το WordPress σε πολλαπλά μεγέθη, λειτουργούν άριστα .gifs και μπορούν να ανοίξουν. Ένα "Χ" μαύρο σε ροζ φόντο.

Τι είναι το "php.php_.php7_.gif" και πώς μπορούμε να απαλλαγούμε από αυτά τα ύποπτα αρχεία

Διαγράψτε αυτά τα αρχεία κατά πάσα πιθανότητα malware / ιός, δεν είναι λύση αν περιοριζόμαστε μόνο σε αυτό. Σίγουρα php.php_.php7_.gif δεν είναι ένα νόμιμο αρχείο WordPress ή δημιουργήθηκε από ένα plugin.
Σε έναν διακομιστή ιστού μπορεί εύκολα να εντοπιστεί εάν έχουμε Ανίχνευση κακόβουλου λογισμικού Linux εγκατασταθεί. Η διαδικασία κατά του ιού / κακόβουλου λογισμικού της "maldet"Εντοπίστηκε αμέσως ως ιός τύπου:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Συνιστάται ιδιαίτερα να έχετε ένα antivirus στο διακομιστή ιστού και να το ενημερώσετε μέχρι σήμερα. Επιπλέον, το antivirus έχει οριστεί για να παρακολουθεί μόνιμα τις αλλαγές στα αρχεία web.
Η έκδοση του WordPress και όλα modules (plugins) επίσης να ενημερώνονται. Όσο έχω δει, όλες οι ιστοσελίδες του WordPress έχουν μολυνθεί php.php_.php7_.gif έχουν ως κοινό στοιχείο προσθήκης "WP Review». Plugin που μόλις έλαβε μια ενημέρωση στον changelog που βρίσκουμε: Σταθερό ζήτημα ευπάθειας.

Για έναν από τους ιστότοπους που επηρεάζονται από αυτό το κακόβουλο λογισμικό, στο error.log βρέθηκε η ακόλουθη γραμμή:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Με κάνει να σκεφτώ ότι η φόρτωση ψευδών εικόνων έγινε μέσω αυτής της προσθήκης. Το σφάλμα προκύπτει πρώτα από ένα σφάλμα PORT fastcgi.
Μια σημαντική σημείωση είναι ότι αυτό το malware / WordPress δεν λαμβάνει πραγματικά υπόψη την έκδοση PHP στο διακομιστή. Βρήκα και τα δύο PHP 5.6.40 και η PHP 7.1.30.

Το άρθρο θα ενημερωθεί καθώς θα μάθετε περισσότερα σχετικά με το αρχείο php.php_.php7_.gif που υπάρχει στο μέσα ενημέρωσηςΒιβλιοθήκη.

php.php_.php7_.gif - Λογισμικό κακόβουλου λογισμικού WordPress (ροζ X εικόνα στη βιβλιοθήκη πολυμέσων)

Σχετικά με τον Συγγραφέα

Λαθραία

Πάθος για ό, τι το gadget και να το γράψετε με χαρά stealthsettings.com των 2006 και μου αρέσει να ανακαλύψει νέα πράγματα μαζί σας σχετικά με τους υπολογιστές και το MacOS, Linux, Windows, iOS και Android.

3 Σχόλια

  • Απλώς πέρασα τη θέση σας για την αποκάλυψη από το WP Review του CVE για αυτήν την ευπάθεια. Βρήκα εκεί που το ρύθμισαν, και έβαλα ένα σχόλιο εκεί ζητώντας τους να κάνουν μια CVE / δημόσια θέση https://github.com/MyThemeShopTeam/WP-Review/commit/1eff057e8c8c77cd792898a35d3c1def6bfb5642

    με λίγα λόγια, στο 5.2.2 αφαιρούν την επιλογή "Ανεβάστε Σχόλια Εικόνα με Ajax", η οποία θα μπορούσε να καταστρατηγηθεί σε προηγούμενες εκδόσεις μη εξουσιοδοτημένων χρηστών

    • Ευχαριστώ για το σχόλιό σας, Andrei!
      Νόμιζα ότι υπήρχε το πρόβλημα αφού είδαν τα αρχεία καταγραφής "action = wpr-upload-comment-image" και η ενημερωμένη έκδοση διαθέσιμη στην προσθήκη.
      Ωστόσο, είναι καλό ότι στην περίπτωσή μου, τίποτα δεν μπορεί να γίνει στους διακομιστές.

  • Πήρα επίσης αυτό το αρχείο εικόνας php.php_.php7_.gif στο wordpress, τι πρέπει να κάνω τώρα; Έχω να το διαγράψετε πηγαίνετε στο galerry wordpress, παρακαλώ αισθανθείτε ελεύθερος o ...

Αφήστε ένα σχόλιο