php.php_.php7_.gif - WordPress ļaunprātīga programmatūra (rozā X attēls multivides bibliotēkā)

Nesen tika ziņots par dīvainu lietu vairākās vietnēs WordPress.

Problēmas dati php.php_.php7_.gif

Noslēpumainais a .gif attēli ar melnu "X" uz rozā fona. Visos gadījumos faila nosaukums bija "php.php_.php7_.gif", Kam visur ir vienādas īpašības. Interesanti ir tas, ka šo failu nav augšupielādējis konkrēts lietotājs / autors. "Augšupielādējis: (nav autora)".

File Vārds: php.php_.php7_.gif
File Tips: image / gif
Augšupielādēts: Jūlijs 11, 2019
File Izmērs:
Izmēri: 300, izmantojot 300 pikseļus
Uzruna: php.php_.php7_
Augšupielādējis: (nav autora)

By default, šis .GIF fails, kas izskatās satur skriptu, tiek ielādēts serverī pašreizējā augšupielādes mape no hronoloģijas. Konkrētajos gadījumos: / Root / wp-content / attēli / 2019 / 07 /.
Vēl viena interesanta lieta ir tā, ka foto redaktors nevar atvērt bāzes failu - php.php_.php7_.gif, kas tika augšupielādēts serverī. Priekšskatījums, Photoshop vai jebkurš cits. Tā vietā sīktēlsWordPress automātiski izveidotās (ikonas) vairākās dimensijās ir lieliski funkcionējošas .gif un tās var atvērt. Melns "X" uz rozā fona.

Kas ir "php.php_.php7_.gif" un kā atbrīvoties no šiem aizdomīgajiem failiem?

Visticamāk dzēsiet šos failus malware / vīruss, tas nav risinājums, ja mēs to ierobežotu. Protams, php.php_.php7_.gif nav likumīgs WordPress fails vai tas nav izveidots ar spraudni.
Tīmekļa serverī to var viegli identificēt, ja ir Linux Malware Detect  uzstādītas. Pretvīrusu / ļaunprātīgas programmatūras processmaldet"Tūlīt atklāja to kā vīrusu:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Ir ļoti ieteicams to darīt antivīrusu tīmekļa serverī un atjauniniet to līdz šim. Turklāt antivīruss ir iestatīts, lai pastāvīgi uzraudzītu tīmekļa failu izmaiņas.
WordPress versija un viss moduļi (spraudņi). Cik es redzēju, visas WordPress vietnes ir inficētas php.php_.php7_.gif ir kopīgs elements spraudnis "WP pārskats". Spraudnis, kas nesen saņēma atjauninājumu, kura izmaiņu žurnālā atrodam: Fiksēta neaizsargātības problēma.

Vienā no vietnēm, kuras ietekmē šī ļaunprātīgā programmatūra, šeit: error.log atrada šādu rindu:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Tas liek domāt, ka nepareizu attēlu augšupielāde tika veikta, izmantojot šo spraudni. Kļūda vispirms rodas no kļūdas PORTCGI PORT.
Svarīga piezīme ir tā, ka šī ļaunprātīgā programmatūra / WordPress īsti neņem vērā PHP servera versiju. Es to atradu PHP 5.6.40 un PHP 7.1.30.

Raksts tiks atjaunināts, jo uzzināsim vairāk par php.php_.php7_.gif ļaunprātīgas programmatūras failu, kas atrodas Mediji →  bibliotēka.

Atstāj atbildi

Jūsu e-pasts address netiks publicēts. Obligātie lauki ir atzīmēti *

Kopā
0
akcijas
iepriekšējā pants

502 Bad Gateway / Cloudflare Down - HowTo Fix

Nākamais pants

Kā noņemt atzīmi no noklusējuma "Nosūtīt uz citu address "no Woocommerce Checkout lapas

Kopā
0
Share