php.php_.php7_.gif - Вредоносное ПО WordPress (изображение Pink X в библиотеке мультимедиа)

Недавно мне сообщили о странной вещи на нескольких сайтах WordPress.

Проблемные данные php.php_.php7_.gif

Таинственное появление .gif изображения с черным крестиком на розовом фоне, Во всех случаях файл был названphp.php_.php7_.gif", Имея одинаковые свойства везде. Интересно то, что этот файл не был загружен конкретным пользователем / автором. "Загружено: (нет автора)".

Имя файла: php.php_.php7_.gif
Тип файла: изображение / GIF
Загружено на: Июль 11, 2019
Размер файла:
Габаритные размеры: 300 по пикселям 300
Название: php.php_.php7_
Загружено пользователем: (без автора)

По умолчанию этот файл .GIF выглядит как содержит скрипт, загружается на сервер в текущая папка загрузки из хронологии. В данных случаях: / Root / WP-содержание / добавления / 2019 / 07 /.
Еще одна интересная вещь - то, что базовый файл php.php_.php7_.gif, который был загружен на сервер, не может быть открыт фоторедактором. Предварительный просмотр, Photoshop или любой другой. Вместо этого, миниатюрами(иконки), сделанные автоматически WordPress для нескольких размеров, прекрасно функционируют .gifs и могут быть открыты. «Х» черный на розовом фоне.

Что такое "php.php_.php7_.gif" и как мы можем избавиться от этих подозрительных файлов

Удалить эти файлы скорее всего вредоносных программ / ВирусЭто не решение, если мы ограничимся только этим. Конечно, php.php_.php7_.gif не является допустимым файлом WordPress или создан плагином.
На веб-сервере это можно легко определить, если у нас есть Linux Malware Detect установлен. Антивирусный / антивирусный процесс "maldet«Сразу обнаружил, что это вирус типа:»{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Настоятельно рекомендуется иметь один антивирус на веб-сервере и обновлять его до сегодняшнего дня, Кроме того, антивирус настроен на постоянный мониторинг изменений в веб-файлах.
Версия WordPress и все модули (плагины) также будут обновлены, Насколько я видел, все сайты WordPress заражены php.php_.php7_.gif иметь как общий элемент плагина "WP Обзор». Плагин, который только что получил обновление в журнале изменений, мы находим: Исправлена ​​проблема с уязвимостью.

Для одного из сайтов, затронутых этим вредоносным ПО, в файле error.log была найдена следующая строка:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Это заставляет меня думать, что загрузка ложных изображений была сделана через этот плагин. Сначала ошибка возникает из-за ошибки PORT fastGGI.
Важным примечанием является то, что эта вредоносная программа / WordPress не учитывает версию PHP на сервере. Я нашел это оба PHP 5.6.40 и PHP 7.1.30.

Эта статья будет обновлена ​​по мере того, как мы узнаем больше о файле вредоносного ПО php.php_.php7_.gif, представленном в МедиаБиблиотека.

php.php_.php7_.gif - Вредоносное ПО WordPress (изображение Pink X в библиотеке мультимедиа)

Об авторе

Хитрость

Увлеченный всем, что означает гаджет и ИТ, я рад писать на stealthsettings.com из 2006, и мне нравится открывать для себя новые вещи о компьютерах и macOS, операционных системах Linux, Windows, iOS и Android.

Оставить комментарий