php.php_.php7_.gif - WordPress Malware (Pink X-billede i mediebiblioteket)

En underlig ting blev for nylig rapporteret til mig på flere steder med WordPress.

Problemdata php.php_.php7_.gif

Det mystiske udseende af a .gif-billeder med en sort "X" på en lyserød baggrund. I alle tilfælde fik filen navnet "php.php_.php7_.gif", Har de samme egenskaber overalt. Det interessante er, at denne fil ikke er uploadet af en bestemt bruger / forfatter. "Uploadet af: (ingen forfatter)".

File navn: php.php_.php7_.gif
File typen: image / gif
Uploadet den: Juli 11, 2019
File størrelse:
dimensioner: 300 med 300 pixels
Titel: php.php_.php7_
Uploadet af: (ingen forfatter)

By default, denne .GIF-fil, der ligner indeholder et script, er indlæst på serveren i den aktuelle uploads mappe fra kronologien. I de givne tilfælde: / Root / wp-content / uploads / 2019 / 07 /.
En anden interessant ting er, at filen grundlæggende php.php_.php7_.gif, der blev lagt på serveren kan ikke åbne et foto editor. Preview, Photoshop eller andre. I stedet thumbnail(ikonerne) lavet automatisk af WordPress i flere dimensioner, er perfekt funktionelle .gifs og kan åbnes. Et sort "X" på en lyserød baggrund.

Hvad er "php.php_.php7_.gif", og hvordan kan vi slippe af med disse mistænkelige filer?

Slet disse filer sandsynligvis malware / virus, det er ikke en løsning, hvis vi begrænser os til netop det. Sikker php.php_.php7_.gif er ikke en legitim WordPress-fil eller oprettet af et plugin.
På en webserver kan det let identificeres, hvis vi har Linux Malware Detect  installeret. Anti-virus / anti-malware processen af ​​“maldet"Opdagede det straks som en virus af typen:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det anbefales stærkt at have en antivirus på webserveren og opdatere det til dato. Desuden er antivirusprogrammet indstillet til permanent overvågning af ændringer til webfiler.
WordPress-versionen og alle moduler (plugins) opdateres også. Så vidt jeg så, blev alle WordPress-websteder inficeret med php.php_.php7_.gif har som et fælles element plugin "WP anmeldelse". Plugin, der for nylig modtog en opdatering i hvis changelog vi finder: Fixed vulnerability issue.

For et af de sider, der er berørt af denne malware, i error.log fandt følgende linje:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får mig til at tro, at upload af falske billeder blev lavet gennem denne plugin. Fejlen opstår først ved en fastcgi PORT-fejl.
En vigtig note er, at denne malware / WordPress ikke rigtig tager højde for PHP-versionen på serveren. Jeg fandt det begge PHP 5.6.40 og PHP 7.1.30.

Artiklen opdateres, da vi finder ud af mere om php.php_.php7_.gif malware-filen, der findes i medier →  Bibliotek.

Giv en kommentar

Din e-mail adresse vil ikke blive offentliggjort. Krævede felter er markeret *

I alt
0
Aktier
Forrige artikel

502 Bad Gateway / Cloudflare Down - Sådan Fix

Næste artikel

Sådan fjernes markeringen af ​​standard "Send til forskellige addtryk "fra siden Checkout i Woocommerce