Недавно мне сообщили о странной вещи на нескольких сайтах WordPress.
Проблемные данные php.php_.php7_.gif
Таинственное появление изображения .gif с черным знаком "X" на розовом фоне. Во всех случаях файл назывался "php.php_.php7_.gif«, Имеющий везде одинаковые свойства. Интересно то, что этот файл не был загружен конкретным пользователем / автором. "Загружено: (нет автора)».
File Название: php.php_.php7_.gif
File Тип: изображение / GIF
Загружено на: Июль 11, 2019
File размер:
Габаритные размеры: 300 по пикселям 300
Название: php.php_.php7_
Загружено пользователем: (без автора)
By default, этот файл .GIF, который выглядит как содержит скрипт, загружается на сервер в текущая папка загрузки из хронологии. В данных случаях: / Root / WP-содержание / добавления / 2019 / 07 /.
Еще одна интересная вещь - то, что базовый файл php.php_.php7_.gif, который был загружен на сервер, не может быть открыт фоторедактором. Предварительный просмотр, Photoshop или любой другой. Вместо этого, миниатюрами(значки) сделаны автоматически WordPress в нескольких размерах .gif вполне функциональны и могут быть открыты. Черный «Х» на розовом фоне.
Что такое «php.php_.php7_.gif» и как мы можем избавиться от этих подозрительных файлов?
Удалить эти файлы скорее всего вредоносных программ / Вирус, не является решением, если мы ограничиваемся только этим. Конечно, php.php_.php7_.gif не является законным файлом WordPress или созданный плагином.
На веб-сервере это можно легко определить, если у нас есть Linux Обнаружение вредоносных программ установлен. Процесс защиты от вирусов и вредоносных программ "maldet«Сразу обнаружен как вирус типа:»{} YARA php_in_image
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Настоятельно рекомендуется иметь один антивирус на веб-сервере и обновлять его до сегодняшнего дня, Кроме того, антивирус настроен на постоянный мониторинг изменений в веб-файлах.
Версия WordPress и все модули (плагины) также будут обновлены. Из того, что я видел, все сайты WordPress заражен php.php_.php7_.gif имеют в качестве общего элемента плагин "WP Обзор". Плагин, который недавно получил обновление, в журнале изменений которого мы находим: Исправлена проблема с уязвимостью.
Для одного из сайтов, пораженных этой вредоносной программой, в error.log нашел следующую строку:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Это заставляет меня думать, что загрузка ложных изображений была сделана через этот плагин. Сначала ошибка возникает из-за ошибки PORT fastGGI.
Важно отметить, что этот вирус / WordPress вредоносное ПО не обращает особого внимания на версию PHP на сервере. я нашел оба PHP 5.6.40 и PHP 7.1.30.
Эта статья будет обновлена по мере того, как мы узнаем больше о файле вредоносного ПО php.php_.php7_.gif, представленном в Медиа → Библиотека.
