php.php_.php7_.gif - вредоносное ПО для WordPress (изображение Pink X в медиатеке)

Недавно мне сообщили о странной вещи на нескольких сайтах WordPress.

Проблемные данные php.php_.php7_.gif

Таинственное появление изображения .gif с черным знаком "X" на розовом фоне. Во всех случаях файл назывался "php.php_.php7_.gif«, Имеющий везде одинаковые свойства. Интересно то, что этот файл не был загружен конкретным пользователем / автором. "Загружено: (нет автора)».

File Название: php.php_.php7_.gif
File Тип: изображение / GIF
Загружено на: Июль 11, 2019
File размер:
Габаритные размеры: 300 по пикселям 300
Название: php.php_.php7_
Загружено пользователем: (без автора)

By default, этот файл .GIF, который выглядит как содержит скрипт, загружается на сервер в текущая папка загрузки из хронологии. В данных случаях: / Root / WP-содержание / добавления / 2019 / 07 /.
Еще одна интересная вещь - то, что базовый файл php.php_.php7_.gif, который был загружен на сервер, не может быть открыт фоторедактором. Предварительный просмотр, Photoshop или любой другой. Вместо этого, миниатюрами(значки), созданные WordPress автоматически в нескольких измерениях, являются полностью функциональными .gif-файлами и могут быть открыты. Черный «Х» на розовом фоне.

Что такое «php.php_.php7_.gif» и как мы можем избавиться от этих подозрительных файлов?

Удалить эти файлы скорее всего вредоносных программ / ВирусЭто не решение, если мы ограничимся только этим. Конечно, php.php_.php7_.gif не является допустимым файлом WordPress или создан плагином.
На веб-сервере это можно легко определить, если у нас есть Linux Malware Detect  установлен. Процесс защиты от вирусов и вредоносных программ "maldet«Сразу обнаружен как вирус типа:»{} YARA php_in_image

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Настоятельно рекомендуется иметь один антивирус на веб-сервере и обновлять его до сегодняшнего дня, Кроме того, антивирус настроен на постоянный мониторинг изменений в веб-файлах.
Версия WordPress и все модули (плагины) также будут обновлены, Насколько я видел, все сайты WordPress заражены php.php_.php7_.gif имеют в качестве общего элемента плагин "WP Обзор". Плагин, который недавно получил обновление, в журнале изменений которого мы находим: Исправлена ​​проблема с уязвимостью.

Для одного из сайтов, пораженных этой вредоносной программой, в error.log нашел следующую строку:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Это заставляет меня думать, что загрузка ложных изображений была сделана через этот плагин. Сначала ошибка возникает из-за ошибки PORT fastGGI.
Важным примечанием является то, что эта вредоносная программа / WordPress не учитывает версию PHP на сервере. Я нашел это оба PHP 5.6.40 и PHP 7.1.30.

Эта статья будет обновлена ​​по мере того, как мы узнаем больше о файле вредоносного ПО php.php_.php7_.gif, представленном в Медиа →  Библиотека.

Увлечен технологиями, мне нравится тестировать и писать руководства по операционным системам. macOS, Linux, Windows, о настройке веб-сервера WordPress, WooCommerce и LEMP (Linux, NGINX, MySQL и PHP). Я пишу на StealthSettings.com с 2006 года, а несколько лет спустя я начал писать на iHowTo.Tips обучающие программы и новости об устройствах в экосистеме. Apple: iPhone, iPad, Apple Часы, HomePod, iMac, MacBook, AirPods и аксессуары.

Оставьте комментарий