php.php_.php7_.gif - WordPress-skadelig programvare (Pink X-bilde i mediebiblioteket)

En merkelig ting ble nylig rapportert til meg på flere steder med WordPress.

Problemdata php.php_.php7_.gif

Det mystiske utseendet til a .gif-bilder med svart "X" på rosa bakgrunn. I alle tilfeller fikk filen navnet "php.php_.php7_.gif", Har de samme egenskapene overalt. Den interessante delen er at denne filen ikke er lastet opp av en bestemt bruker / forfatter. "Lastet opp av: (ingen forfatter)".

File navn: php.php_.php7_.gif
File Type: image / gif
Lastet opp på: Juli 11, 2019
File størrelse:
Mål: 300 av 300 piksler
Tittel: php.php_.php7_
Lastet opp av: (ingen forfatter)

By default, denne .GIF-filen som ser ut inneholder et skript, er lastet på serveren i den nåværende opplastingsmappen fra kronologien. I de konkrete tilfeller: / Root / wp-content / uploads / 2019 / 07 /.
En annen interessant ting er at filen basic php.php_.php7_.gif, som ble satt på serveren kan ikke åpne et bilde editor. Forhåndsvisning, Photoshop eller noe annet. I stedet thumbnail(ikonene) laget automatisk av WordPress i flere dimensjoner, er perfekt funksjonelle .gifs og kan åpnes. En svart "X" på rosa bakgrunn.

Hva er "php.php_.php7_.gif" og hvordan kan vi bli kvitt disse mistenkelige filene?

Slett disse filene mest sannsynlig malware / virus, det er ikke en løsning hvis vi begrenser oss til det. Php.php_.php7_.gif definitivt ikke en legitim fil eller opprettet en WordPress plugin.
På en webserver kan det lett identifiseres hvis vi har Linux Malware Detect  installert. Anti-virus / anti-malware prosessen med “maldet"Oppdaget det umiddelbart som et virus av typen:"{Yara} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det anbefales sterkt å ha en antivirus på webserveren og oppdatere den til dags dato. I tillegg er antivirusprogrammet satt til å overvåke endringer i webfiler permanent.
WordPress-versjonen og alle moduler (plugins) oppdateres også. Så vidt jeg så, ble alle WordPress-nettsteder smittet med php.php_.php7_.gif har som et felles element plugin "WP Review". Plugin som nylig mottok en oppdatering i hvilken endringslogg vi finner: Fast problem med sårbarhet.

For et av nettstedene som er berørt av denne skadelige programvaren, i error.log fant følgende linje:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får meg til å tro at opplastingen av falske bilder ble gjort gjennom denne plugin-modulen. Feilen oppstår først fra en fastcgi PORT-feil.
Et viktig notat er at denne malware / WordPress ikke virkelig tar hensyn til PHP-versjonen på serveren. Jeg fant det begge PHP 5.6.40 og PHP 7.1.30.

Artikkelen vil bli oppdatert ettersom vi finner ut mer om php.php_.php7_.gif malware filen som finnes i Media →  Bibliotek.

Legg igjen en kommentar

Din e-post address vil ikke bli publisert. Obligatoriske felt er merket *

Totalt
0
Aksjer
Forrige Artikkel

502 Bad Gateway / Cloudflare Down - Hvordan løses

Neste Artikkel

Hvordan fjerne merket for standard "Send til annerledes addtrykk "fra Checkout-siden til Woocommerce

Totalt
0
Del