php.php_.php7_.gif - κακόβουλο λογισμικό WordPress (Pink X Image in Media Library)

Ένα παράξενο πράγμα μου αναφέρθηκε πρόσφατα σε αρκετές περιοχές με WordPress.

Δεδομένα προβλήματος php.php_.php7_.gif

Η μυστηριώδης εμφάνιση ενός α .gif εικόνες με μαύρο "X" σε ροζ φόντο. Σε όλες τις περιπτώσεις, το αρχείο ονομάστηκε "php.php_.php7_.gifΈχοντας τις ίδιες ιδιότητες παντού. Το ενδιαφέρον είναι ότι αυτό το αρχείο δεν έχει μεταφορτωθεί από συγκεκριμένο χρήστη / συγγραφέα. "Ανέβηκε από: (δεν συντάκτης)".

File Όνομα: php.php_.php7_.gif
File Τύπος: image / gif
Μεταφορτωμένο στις: Ιούλιος 11, 2019
File μέγεθος:
Διαστάσεις: 300 από 300 εικονοστοιχεία
Τίτλος: php.php_.php7_
Μεταφορτώθηκε από: (χωρίς συγγραφέα)

By default, αυτό το αρχείο .GIF μοιάζει περιέχει ένα σενάριο, φορτώνεται στο διακομιστή στο τον τρέχοντα φάκελο μεταφορτώσεων από τη χρονολόγηση. Στις συγκεκριμένες περιπτώσεις: / Root / wp-content / uploads / 2019 / 07 /.
Ένα άλλο ενδιαφέρον πράγμα είναι ότι το αρχείο βασικό php.php_.php7_.gif, ο οποίος τέθηκε στο διακομιστή δεν μπορεί να ανοίξει ένα πρόγραμμα επεξεργασίας φωτογραφιών. Προεπισκόπηση, Photoshop ή οποιαδήποτε άλλη. Αντ 'αυτού, thumbnailτα (εικονίδια) που δημιουργούνται αυτόματα από το WordPress σε διάφορες διαστάσεις, είναι τέλεια λειτουργικά .gif και μπορούν να ανοίξουν. Ένα μαύρο "X" σε ροζ φόντο.

Τι είναι το "php.php_.php7_.gif" και πώς να απαλλαγείτε από αυτά τα ύποπτα αρχεία;

Διαγράψτε αυτά τα αρχεία κατά πάσα πιθανότητα malware / ιός, δεν είναι λύση αν περιοριζόμαστε μόνο σε αυτό. Σίγουρα php.php_.php7_.gif δεν είναι ένα νόμιμο αρχείο WordPress ή δημιουργήθηκε από ένα plugin.
Σε έναν διακομιστή ιστού μπορεί εύκολα να εντοπιστεί εάν έχουμε Ανίχνευση κακόβουλου λογισμικού Linux  εγκατεστημένο. Η διαδικασία κατά του ιού / anti-malware του “maldet"Εντοπίστηκε αμέσως ως ιός του τύπου:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Συνιστάται ιδιαίτερα να έχετε ένα antivirus στο διακομιστή ιστού και να το ενημερώσετε μέχρι σήμερα. Επιπλέον, το antivirus έχει οριστεί για να παρακολουθεί μόνιμα τις αλλαγές στα αρχεία web.
Η έκδοση του WordPress και όλα modules (plugins) επίσης να ενημερώνονται. Όσο έχω δει, όλες οι ιστοσελίδες του WordPress έχουν μολυνθεί php.php_.php7_.gif έχουν ως κοινό στοιχείο το πρόσθετο "WP Review" Πρόσθετο που έλαβε πρόσφατα μια ενημέρωση στο changelog του οποίου βρίσκουμε: Σταθερό ζήτημα ευπάθειας.

Για έναν από τους ιστότοπους που επηρεάζονται από αυτό το κακόβουλο λογισμικό, στο errorΤο .log βρήκε την ακόλουθη γραμμή:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Με κάνει να σκεφτώ ότι η φόρτωση ψευδών εικόνων έγινε μέσω αυτής της προσθήκης. Το σφάλμα προκύπτει πρώτα από ένα σφάλμα PORT fastcgi.
Μια σημαντική σημείωση είναι ότι αυτό το malware / WordPress δεν λαμβάνει πραγματικά υπόψη την έκδοση PHP στο διακομιστή. Βρήκα και τα δύο PHP 5.6.40 και η PHP 7.1.30.

Το άρθρο θα ενημερωθεί καθώς θα μάθετε περισσότερα σχετικά με το αρχείο php.php_.php7_.gif που υπάρχει στο Εικόνες / Βίντεο →  Βιβλιοθήκη.

Αφήστε μια απάντηση

Η διεύθυνση του ηλεκτρονικού σου ταχυδρομείου addδεν θα δημοσιευτεί. Τα υποχρεωτικά πεδία σημειώνονται *

Σύνολο
0
Μερίδια
Προηγούμενο άρθρο

502 κακή πύλη / Cloudflare κάτω - Πώς να διορθώσετε

επόμενο άρθρο

Πώς να αποεπιλέξετε την προεπιλεγμένη "Αποστολή σε διαφορετικό address "από τη σελίδα ολοκλήρωσης αγοράς του Woocommerce

Σύνολο
0
Κοινοποίηση