php.php_.php7_.gif — WordPress Вредоносное ПО (изображение Pink X в медиатеке)

Недавно мне сообщили о странной вещи на нескольких сайтах WordPress.

Проблемные данные php.php_.php7_.gif

Таинственное появление изображения .gif с черным знаком "X" на розовом фоне. Во всех случаях файл назывался "php.php_.php7_.gif«, Имеющий везде одинаковые свойства. Интересно то, что этот файл не был загружен конкретным пользователем / автором. "Загружено: (нет автора)».

Имя файла: php.php_.php7_.gif
Тип файла: изображение / GIF
Загружено на: Июль 11, 2019
Размер файла:
Габаритные размеры: 300 по пикселям 300
Название: php.php_.php7_
Загружено пользователем: (без автора)

By default, этот файл .GIF, который выглядит как содержит скрипт, загружается на сервер в текущая папка загрузки из хронологии. В данных случаях: / Root / WP-содержание / добавления / 2019 / 07 /.
Еще одна интересная вещь - то, что базовый файл php.php_.php7_.gif, который был загружен на сервер, не может быть открыт фоторедактором. Предварительный просмотр, Photoshop или любой другой. Вместо этого, миниатюрами(значки) сделаны автоматически WordPress в нескольких размерах .gif вполне функциональны и могут быть открыты. Черный «Х» на розовом фоне.

Что такое «php.php_.php7_.gif» и как мы можем избавиться от этих подозрительных файлов?

Удалить эти файлы скорее всего вредоносных программ / Вирус, не является решением, если мы ограничиваемся только этим. Конечно, php.php_.php7_.gif не является законным файлом WordPress или созданный плагином.
На веб-сервере это можно легко определить, если у нас есть Linux Обнаружение вредоносных программ  установлен. Процесс защиты от вирусов и вредоносных программ "maldet«Сразу обнаружен как вирус типа:»{} YARA php_in_image

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Настоятельно рекомендуется иметь один антивирус на веб-сервере и обновлять его до сегодняшнего дня, Кроме того, антивирус настроен на постоянный мониторинг изменений в веб-файлах.
Версия WordPress и все модули (плагины) также будут обновлены. Из того, что я видел, все сайты WordPress заражен php.php_.php7_.gif имеют в качестве общего элемента плагин "WP Обзор". Плагин, который недавно получил обновление, в журнале изменений которого мы находим: Исправлена ​​проблема с уязвимостью.

Для одного из сайтов, пораженных этой вредоносной программой, в error.log нашел следующую строку:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Это заставляет меня думать, что загрузка ложных изображений была сделана через этот плагин. Сначала ошибка возникает из-за ошибки PORT fastGGI.
Важно отметить, что этот вирус / WordPress вредоносное ПО не обращает особого внимания на версию PHP на сервере. я нашел оба PHP 5.6.40 и PHP 7.1.30.

Эта статья будет обновлена ​​по мере того, как мы узнаем больше о файле вредоносного ПО php.php_.php7_.gif, представленном в Медиа →  Библиотека.

Поклонник технологий, с 2006 года с удовольствием пишу на StealthSettings.com. Обширный опыт работы с операционными системами: macOS, Windows и Linux, а также с языками программирования и платформами для блогов (WordPress) и онлайн-магазинов (WooCommerce, Magento, PrestaShop).

КАК » Антивирус и безопасность » php.php_.php7_.gif — WordPress Вредоносное ПО (изображение Pink X в медиатеке)
Оставьте комментарий