Mir wurde kürzlich auf mehreren Seiten etwas Seltsames gemeldet WordPress.

Problemdaten php.php_.php7_.gif

Das mysteriöse Erscheinen eines .gif-Bilder mit einem “X” schwarz auf rosa Hintergrund. In allen Fällen hatte die Datei den Namen “php.php_.php7_.gif“, überall die gleichen Eigenschaften haben. Das Interessante daran ist, dass diese Datei nicht von einem bestimmten Benutzer/Autor hochgeladen wurde. “Hochgeladen von: (kein Autor)“.

Dateiname: php.php_.php7_.gif
Dateityp: Bild/Gif
Hochgeladen am: 11. Juli 2019
Dateigröße:
Abmessungen: 300 x 300 Pixel
Titel: php.php_.php7_
Hochgeladen von: (kein Autor)

Standardmäßig ist diese .GIF-Datei, die wie eine aussieht enthält ein Skript, wird auf den Server hochgeladen der aktuelle Upload-Ordner aus der Zeitleiste. In den angegebenen Fällen: /root/wp-content/uploads/2019/07/.
Interessant ist auch, dass die Basisdatei php.php_.php7_.gif, die auf den Server hochgeladen wurde, nicht mit einem Bildbearbeitungsprogramm geöffnet werden kann. Vorschau, Photoshop oder andere. Stattdessen, MiniaturansichtDie von WordPress in mehreren Dimensionen automatisch erstellten (Symbole) sind perfekt funktionierende GIFs und können geöffnet werden. A “X” schwarz auf rosa Hintergrund.

Was ist das “php.php_.php7_.gif” und wie können wir diese verdächtigen Dateien loswerden?

Diese Dateien werden höchstwahrscheinlich gelöscht Malware / Virus, es ist keine Lösung, wenn wir uns nur darauf beschränken. Definitiv ist php.php_.php7_.gif keine legitime WordPress-Datei und wurde auch nicht von einem Plugin erstellt.
Auf einem Webserver kann es sehr leicht identifiziert werden, sofern wir einen habenLinux-Malware-Erkennung  installiert. Der Antiviren-/Anti-Malware-Prozess von “Pisten” Es wurde sofort als Virus des Typs erkannt: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Es wird dringend empfohlen, eines zu haben Antivirus auf dem Webserver installiert und muss aktualisiert werden. Darüber hinaus sollte das Antivirenprogramm so eingestellt sein, dass es die an den Webdateien vorgenommenen Änderungen permanent überwacht.
WordPress-Version und alles Auch die Module (Plugins) sollten aktualisiert werden. Soweit ich gesehen habe, sind alle WordPress-Seiten infiziert php.php_.php7_.gif Sie haben das Plugin als gemeinsames Element “WP-Rezension“. Plugin, das erst kürzlich ein Update erhalten hat, in dessen Changelog wir finden: Schwachstellenproblem behoben.

Für eine der von dieser Malware betroffenen Websites wurde die folgende Zeile im error.log gefunden:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Ich denke, dass das gefälschte Bild über dieses Plugin hochgeladen wurde. Der Fehler trat ursprünglich aufgrund eines PORT-FastCGI-Fehlers auf.
Eine wichtige Erwähnung ist, dass dieser Virus/WordPress-Malware die PHP-Version auf dem Server nicht wirklich berücksichtigt. Ich habe beides gefundenPHP 5.6.40 sowie aufPHP 7.1.30.

Der Artikel wird aktualisiert, sobald wir mehr über die darin enthaltene Malware-Datei php.php_.php7_.gif erfahren Medien →Bibliothek.