php.php_.php7_.gif - WordPress-skadelig programvare (Pink X-bilde i mediebiblioteket)

En merkelig ting ble nylig rapportert til meg på flere steder med WordPress.

Problemdata php.php_.php7_.gif

Det mystiske utseendet til a .gif-bilder med svart "X" på rosa bakgrunn. I alle tilfeller fikk filen navnet "php.php_.php7_.gif", Har de samme egenskapene overalt. Den interessante delen er at denne filen ikke er lastet opp av en bestemt bruker / forfatter. "Lastet opp av: (ingen forfatter)".

File navn: php.php_.php7_.gif
File Type: image / gif
Lastet opp på: Juli 11, 2019
File størrelse:
Mål: 300 av 300 piksler
Tittel: php.php_.php7_
Lastet opp av: (ingen forfatter)

By default, denne .GIF-filen som ser ut inneholder et skript, er lastet på serveren i den nåværende opplastingsmappen fra kronologien. I de konkrete tilfeller: / Root / wp-content / uploads / 2019 / 07 /.
En annen interessant ting er at filen basic php.php_.php7_.gif, som ble satt på serveren kan ikke åpne et bilde editor. Forhåndsvisning, Photoshop eller noe annet. I stedet thumbnail(ikonene) laget automatisk av WordPress i flere dimensjoner, er perfekt funksjonelle .gifs og kan åpnes. En svart "X" på rosa bakgrunn.

Hva er "php.php_.php7_.gif" og hvordan kan vi bli kvitt disse mistenkelige filene?

Slett disse filene mest sannsynlig malware / virus, det er ikke en løsning hvis vi begrenser oss til det. Php.php_.php7_.gif definitivt ikke en legitim fil eller opprettet en WordPress plugin.
På en webserver kan det lett identifiseres hvis vi har Linux Malware Detect  installert. Anti-virus / anti-malware prosessen med “maldet"Oppdaget det umiddelbart som et virus av typen:"{Yara} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det anbefales sterkt å ha en antivirus på webserveren og oppdatere den til dags dato. I tillegg er antivirusprogrammet satt til å overvåke endringer i webfiler permanent.
WordPress-versjonen og alle moduler (plugins) oppdateres også. Så vidt jeg så, ble alle WordPress-nettsteder smittet med php.php_.php7_.gif har som et felles element plugin "WP Review". Plugin som nylig mottok en oppdatering i hvilken endringslogg vi finner: Fast problem med sårbarhet.

For et av nettstedene som er berørt av denne skadelige programvaren, i error.log fant følgende linje:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får meg til å tro at opplastingen av falske bilder ble gjort gjennom denne plugin-modulen. Feilen oppstår først fra en fastcgi PORT-feil.
Et viktig notat er at denne malware / WordPress ikke virkelig tar hensyn til PHP-versjonen på serveren. Jeg fant det begge PHP 5.6.40 og PHP 7.1.30.

Artikkelen vil bli oppdatert ettersom vi finner ut mer om php.php_.php7_.gif malware filen som finnes i Media →  Bibliotek.

Lidenskapelig om teknologi, jeg liker å teste og skrive opplæringsprogrammer om operativsystemer macOS, Linux, Windows, om WordPress, WooCommerce og LEMP webserverkonfigurasjon (Linux, NGINX, MySQL og PHP). Jeg skriver videre StealthSettings.com siden 2006, og noen år senere begynte jeg å skrive på iHowTo.Tips tutorials og nyheter om enheter i økosystemet. Apple: iPhone, iPad, Apple Se, HomePod, iMac, MacBook, AirPods og tilbehør.

Legg igjen en kommentar