php.php_.php7_.gif - WordPress Malware (Pink X attēls multivides bibliotēkā)

Nesen tika ziņots par dīvainu lietu vairākās vietnēs WordPress.

Problēmas dati php.php_.php7_.gif

Noslēpumainais a .gif attēli ar melnu "X" uz rozā fona. Visos gadījumos fails tika nosaukts "php.php_.php7_.gif", Kam ir tādas pašas īpašības visur. Interesants ir tas, ka konkrēts lietotājs / autors šo failu nav augšupielādējis. "Augšupielādējis: (nav autora)".

Faila nosaukums: php.php_.php7_.gif
Faila veids: image / gif
Augšupielādēts: Jūlijs 11, 2019
Faila izmērs:
Izmēri: 300, izmantojot 300 pikseļus
virsraksts: php.php_.php7_
Augšupielādējis: (nav autora)

Pēc noklusējuma šis .GIF fails ir a satur skriptu, tiek ielādēts serverī pašreizējā augšupielādes mape no hronoloģijas. Konkrētajos gadījumos: / Root / wp-content / attēli / 2019 / 07 /.
Vēl viena interesanta lieta ir tā, ka foto redaktors nevar atvērt bāzes failu - php.php_.php7_.gif, kas tika augšupielādēts serverī. Priekšskatījums, Photoshop vai jebkurš cits. Tā vietā sīktēls(ikonas), ko WordPress automātiski veic vairākos izmēros, ir pilnīgi funkcionējošas .gifs un tās var atvērt. "X" melns uz rozā fona.

Kas ir "php.php_.php7_.gif" un kā mēs varam atbrīvoties no šiem aizdomīgiem failiem

Visticamāk dzēsiet šos failus malware / vīruss, tas nav risinājums, ja mēs to ierobežotu. Protams, php.php_.php7_.gif nav likumīgs WordPress fails vai tas nav izveidots ar spraudni.
Tīmekļa serverī to var viegli identificēt, ja ir Linux Malware Detect uzstādīta. Pretvīrusu / pretvīrusu programmas processmaldet"Nekavējoties konstatēja to kā tipa vīrusu:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Ir ļoti ieteicams to darīt antivīrusu tīmekļa serverī un atjauniniet to līdz šim. Turklāt antivīruss ir iestatīts, lai pastāvīgi uzraudzītu tīmekļa failu izmaiņas.
WordPress versija un viss moduļi (spraudņi). Cik es redzēju, visas WordPress vietnes ir inficētas php.php_.php7_.gif ir kopīgs spraudņa elements "WP pārskats". Spraudnis, kas tikko saņēma atjauninājumu atrastajā izmaiņā: Fiksēta neaizsargātības problēma.

Vienai no vietnēm, kuras skar šī ļaunprātīgā programmatūra, kļūdas logā tika atrasta šāda rinda:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Tas liek domāt, ka nepareizu attēlu augšupielāde tika veikta, izmantojot šo spraudni. Kļūda vispirms rodas no kļūdas PORTCGI PORT.
Svarīga piezīme ir tā, ka šī ļaunprātīgā programmatūra / WordPress īsti neņem vērā PHP servera versiju. Es to atradu PHP 5.6.40 un PHP 7.1.30.

Raksts tiks atjaunināts, jo uzzināsim vairāk par php.php_.php7_.gif ļaunprātīgas programmatūras failu, kas atrodas Medijibibliotēka.

php.php_.php7_.gif - WordPress Malware (Pink X attēls multivides bibliotēkā)

Par autoru

Maskēšanās

Kaislīgi pret visu, kas nozīmē sīkrīku un IT, es ar prieku rakstu vietnē stealthsettings.com no 2006 un man patīk atklāt jaunas lietas par datoriem un macOS, Linux operētājsistēmām, Windows, iOS un Android.

Leave a Comment