Nesen tika ziņots par dīvainu lietu vairākās vietnēs WordPress.
Problēmas dati php.php_.php7_.gif
Noslēpumainais a .gif attēli ar melnu "X" uz rozā fona. Visos gadījumos faila nosaukums bija "php.php_.php7_.gif", Kam visur ir vienādas īpašības. Interesanti ir tas, ka šo failu nav augšupielādējis konkrēts lietotājs / autors. "Augšupielādējis: (nav autora)".
Faila nosaukums: php.php_.php7_.gif
Faila veids: image / gif
Augšupielādēts: Jūlijs 11, 2019
Faila izmērs:
Izmēri: 300, izmantojot 300 pikseļus
Uzruna: php.php_.php7_
Augšupielādējis: (nav autora)
Pēc noklusējuma šis .GIF fails, kas izskatās kā a satur skriptu, tiek ielādēts serverī pašreizējā augšupielādes mape no hronoloģijas. Konkrētajos gadījumos: / Root / wp-content / attēli / 2019 / 07 /.
Vēl viena interesanta lieta ir tā, ka foto redaktors nevar atvērt bāzes failu - php.php_.php7_.gif, kas tika augšupielādēts serverī. Priekšskatījums, Photoshop vai jebkurš cits. Tā vietā sīktēls(ikonas), ko automātiski izveidoja WordPress vairākos izmēros .gif ir lieliski funkcionāli un tos var atvērt. Melns "X" uz rozā fona.
Kas ir "php.php_.php7_.gif" un kā atbrīvoties no šiem aizdomīgajiem failiem?
Visticamāk dzēsiet šos failus malware / vīruss, nav risinājums, ja aprobežojamies ar to. Protams, php.php_.php7_.gif nav likumīgs fails WordPress vai izveidots ar spraudni.
Tīmekļa serverī to var viegli identificēt, ja ir Linux Ļaunprātīgas programmatūras noteikšana uzstādītas. Pretvīrusu / ļaunprātīgas programmatūras processmaldet"Tūlīt atklāja to kā vīrusu:"{YARA} php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Ir ļoti ieteicams to darīt antivīrusu tīmekļa serverī un atjauniniet to līdz šim. Turklāt antivīruss ir iestatīts, lai pastāvīgi uzraudzītu tīmekļa failu izmaiņas.
Versija WordPress un viss moduļi (spraudņi). No tā, ko esmu redzējis, visas vietnes WordPress inficēts ar php.php_.php7_.gif ir kopīgs elements spraudnis "WP pārskats". Spraudnis, kas nesen saņēma atjauninājumu, kura izmaiņu žurnālā atrodam: Fiksēta neaizsargātības problēma.
Vienā no vietnēm, kuras ietekmē šī ļaunprātīgā programmatūra, šeit: error.log atrada šādu rindu:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Tas liek domāt, ka nepareizu attēlu augšupielāde tika veikta, izmantojot šo spraudni. Kļūda vispirms rodas no kļūdas PORTCGI PORT.
Svarīgs pieminējums ir tas, ka šis vīruss / WordPress ļaunprogrammatūra nepievērš lielu uzmanību PHP versijai serverī. Es atradu abus PHP 5.6.40 un PHP 7.1.30.
Raksts tiks atjaunināts, jo uzzināsim vairāk par php.php_.php7_.gif ļaunprātīgas programmatūras failu, kas atrodas Mediji → bibliotēka.