php.php_.php7_.gif - WordPress Malware (Pink X Image i Mediebibliotek)

En underlig ting blev for nylig rapporteret til mig på flere steder med WordPress.

Problemdata php.php_.php7_.gif

Det mystiske udseende af a .gif billeder med en sort "X" på en lyserød baggrund. I alle tilfælde blev filen navngivet "php.php_.php7_.gif", Med de samme egenskaber overalt. Den interessante del er, at denne fil ikke er blevet uploadet af en bestemt bruger / forfatter. "Uploadet af: (ingen forfatter)".

File name: php.php_.php7_.gif
Filtype: image / gif
Uploadet den: Juli 11, 2019
Fil størrelse:
dimensioner: 300 med 300 pixels
Titel: php.php_.php7_
Uploadet af: (ingen forfatter)

Som standard synes denne .GIF-fil at være en indeholder et script, er indlæst på serveren i den aktuelle uploads mappe fra kronologien. I de givne tilfælde: / Root / wp-content / uploads / 2019 / 07 /.
En anden interessant ting er, at filen grundlæggende php.php_.php7_.gif, der blev lagt på serveren kan ikke åbne et foto editor. Preview, Photoshop eller andre. I stedet thumbnail(ikoner) lavet automatisk af WordPress på flere størrelser, fungerer perfekt .gifs og kan åbnes. En "X" sort på en lyserød baggrund.

Hvad er "php.php_.php7_.gif" og hvordan kan vi slippe af med disse mistænkelige filer

Slet disse filer sandsynligvis malware / virus, det er ikke en løsning, hvis vi begrænser os til netop det. Sikker php.php_.php7_.gif er ikke en legitim WordPress-fil eller oprettet af et plugin.
På en webserver kan det let identificeres, hvis vi har Linux Malware Detect installeret. Anti-virus / anti-malware proces af "maldet"Detekterede det øjeblikkeligt som en type virus:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det anbefales stærkt at have en antivirus på webserveren og opdatere det til dato. Desuden er antivirusprogrammet indstillet til permanent overvågning af ændringer til webfiler.
WordPress-versionen og alle moduler (plugins) opdateres også. Så vidt jeg så, blev alle WordPress-websteder inficeret med php.php_.php7_.gif har som almindeligt plugin element "WP anmeldelse". Plugin, der lige har modtaget en opdatering i changelog finder vi: Fixed vulnerability issue.

For en af ​​de websteder, der er ramt af denne malware, blev følgende linje fundet i error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får mig til at tro, at upload af falske billeder blev lavet gennem denne plugin. Fejlen opstår først ved en fastcgi PORT-fejl.
En vigtig note er, at denne malware / WordPress ikke rigtig tager højde for PHP-versionen på serveren. Jeg fandt det begge PHP 5.6.40 og PHP 7.1.30.

Artiklen opdateres, da vi finder ud af mere om php.php_.php7_.gif malware-filen, der findes i medierBibliotek.

php.php_.php7_.gif - WordPress Malware (Pink X Image i Mediebibliotek)

Om forfatteren

Stealth

Lidenskabelig om alt, hvad der betyder gadget og IT, jeg er glad for at skrive på stealthsettings.com fra 2006 og jeg elsker at opdage nye ting om computere og macOS, Linux-operativsystemer, Windows, iOS og Android.

Efterlad en kommentar