En underlig ting blev for nylig rapporteret til mig på flere steder med WordPress.
Problemdata php.php_.php7_.gif
Det mystiske udseende af a .gif-billeder med en sort "X" på en lyserød baggrund. I alle tilfælde fik filen navnet "php.php_.php7_.gif", Har de samme egenskaber overalt. Det interessante er, at denne fil ikke er uploadet af en bestemt bruger / forfatter. "Uploadet af: (ingen forfatter)".
File name: php.php_.php7_.gif
Filtype: image / gif
Uploadet den: Juli 11, 2019
Fil størrelse:
dimensioner: 300 med 300 pixels
Titel: php.php_.php7_
Uploadet af: (ingen forfatter)
By default, denne .GIF-fil, der ligner indeholder et script, er indlæst på serveren i den aktuelle uploads mappe fra kronologien. I de givne tilfælde: / Root / wp-content / uploads / 2019 / 07 /.
En anden interessant ting er, at filen grundlæggende php.php_.php7_.gif, der blev lagt på serveren kan ikke åbne et foto editor. Preview, Photoshop eller andre. I stedet thumbnail(ikoner) lavet automatisk af WordPress på flere størrelser er .gifs perfekt funktionelle og kan åbnes. Et sort "X" på en lyserød baggrund.
Hvad er "php.php_.php7_.gif", og hvordan kan vi slippe af med disse mistænkelige filer?
Slet disse filer sandsynligvis malware / virus, er ikke en løsning, hvis vi begrænser os til netop det. php.php_.php7_.gif er bestemt ikke en legitim fil af WordPress eller oprettet af et plugin.
På en webserver kan det let identificeres, hvis vi har Linux Malware-registrering installeret. Anti-virus / anti-malware processen af “maldet"Opdagede det straks som en virus af typen:"{YARA} php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Det anbefales stærkt at have en antivirus på webserveren og opdatere det til dato. Desuden er antivirusprogrammet indstillet til permanent overvågning af ændringer til webfiler.
Version af WordPress og alle moduler (plugins) opdateres også. Fra hvad jeg har set, alle webstederne WordPress inficeret med php.php_.php7_.gif har som et fælles element plugin "WP anmeldelse". Plugin, der for nylig modtog en opdatering i hvis changelog vi finder: Fixed vulnerability issue.
For et af de sider, der er berørt af denne malware, i error.log fandt følgende linje:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Det får mig til at tro, at upload af falske billeder blev lavet gennem denne plugin. Fejlen opstår først ved en fastcgi PORT-fejl.
En vigtig omtale er, at denne virus / WordPress malware lægger ikke meget vægt på PHP-versionen på serveren. Jeg fandt begge dele PHP 5.6.40 og PHP 7.1.30.
Artiklen opdateres, da vi finder ud af mere om php.php_.php7_.gif malware-filen, der findes i Medier → Bibliotek.
