php.php_.php7_.gif - WordPress Malware (Pink X-billede i mediebiblioteket)

En underlig ting blev for nylig rapporteret til mig på flere steder med WordPress.

Problemdata php.php_.php7_.gif

Det mystiske udseende af a .gif-billeder med en sort "X" på en lyserød baggrund. I alle tilfælde fik filen navnet "php.php_.php7_.gif", Har de samme egenskaber overalt. Det interessante er, at denne fil ikke er uploadet af en bestemt bruger / forfatter. "Uploadet af: (ingen forfatter)".

File navn: php.php_.php7_.gif
File typen: image / gif
Uploadet den: Juli 11, 2019
File størrelse:
dimensioner: 300 med 300 pixels
Titel: php.php_.php7_
Uploadet af: (ingen forfatter)

By default, denne .GIF-fil, der ligner indeholder et script, er indlæst på serveren i den aktuelle uploads mappe fra kronologien. I de givne tilfælde: / Root / wp-content / uploads / 2019 / 07 /.
En anden interessant ting er, at filen grundlæggende php.php_.php7_.gif, der blev lagt på serveren kan ikke åbne et foto editor. Preview, Photoshop eller andre. I stedet thumbnail(ikonerne) lavet automatisk af WordPress i flere dimensioner, er perfekt funktionelle .gifs og kan åbnes. Et sort "X" på en lyserød baggrund.

Hvad er "php.php_.php7_.gif", og hvordan kan vi slippe af med disse mistænkelige filer?

Slet disse filer sandsynligvis malware / virus, det er ikke en løsning, hvis vi begrænser os til netop det. Sikker php.php_.php7_.gif er ikke en legitim WordPress-fil eller oprettet af et plugin.
På en webserver kan det let identificeres, hvis vi har Linux Malware Detect  installeret. Anti-virus / anti-malware processen af ​​“maldet"Opdagede det straks som en virus af typen:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det anbefales stærkt at have en antivirus på webserveren og opdatere det til dato. Desuden er antivirusprogrammet indstillet til permanent overvågning af ændringer til webfiler.
WordPress-versionen og alle moduler (plugins) opdateres også. Så vidt jeg så, blev alle WordPress-websteder inficeret med php.php_.php7_.gif har som et fælles element plugin "WP anmeldelse". Plugin, der for nylig modtog en opdatering i hvis changelog vi finder: Fixed vulnerability issue.

For en af ​​de websteder, der er ramt af denne malware, blev følgende linje fundet i error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får mig til at tro, at upload af falske billeder blev lavet gennem denne plugin. Fejlen opstår først ved en fastcgi PORT-fejl.
En vigtig note er, at denne malware / WordPress ikke rigtig tager højde for PHP-versionen på serveren. Jeg fandt det begge PHP 5.6.40 og PHP 7.1.30.

Artiklen opdateres, da vi finder ud af mere om php.php_.php7_.gif malware-filen, der findes i medier →  Bibliotek.

php.php_.php7_.gif - WordPress Malware (Pink X-billede i mediebiblioteket)

Om forfatteren

Stealth

Lidenskabelig over alt gadget og IT, jeg skriver med glæde om stealthsettings.com siden 2006, og jeg kan godt lide at opdage nye ting om computere og operativsystemer macOS, Linux, med dig, Windows, iOS og Android.

Efterlad en kommentar