Mulle teatati hiljuti mitmel saidil kummalisest asjast WordPress.
Probleemandmed php.php_.php7_.gif
Salapärane välimus a .gif pildid koos a “X” must roosal taustal. Kõigil juhtudel oli failil nimi “php.php_.php7_.gif“, millel on kõikjal samad omadused. Huvitav osa on see, et seda faili ei laadinud üles konkreetne kasutaja/autor. “Laadis üles: (autorit pole)“.
Faili nimi: php.php_.php7_.gif
Faili tüüp: pilt/gif
Üles laaditud: 11. juuli 2019
Faili suurus:
Mõõdud: 300 x 300 pikslit
Pealkiri: php.php_.php7_
Laadis üles: (autorit pole)
Vaikimisi on see .GIF-fail, mis näeb välja nagu a sisaldab skripti, laaditakse serverisse üles praegune üleslaadimiste kaust ajajoonelt. Antud juhtudel: /root/wp-content/uploads/2019/07/.
O alta chestie interesanta este aceea ca fisierul de baza, php.php_.php7_.gif, cel care a fost urcat pe server, nu poate fi deschis de un editor foto. Preview, Photoshop sau oricare altul. In schimb, pisipiltWordPressi poolt automaatselt mitmes mõõdus tehtud (ikoonid) on täiesti funktsionaalsed .gifid ja avatavad. A “X” must roosal taustal.
Mis see on “php.php_.php7_.gif” ja kuidas saaksime neist kahtlastest failidest lahti saada
Nende failide kustutamine tõenäoliselt pahavara / viirus, see ei ole lahendus, kui piirdume ainult sellega. Kindlasti ei ole php.php_.php7_.gif seaduslik WordPressi fail ega loodud pistikprogrammi abil.
Veebiserveris on see väga lihtne tuvastada, kui meil on see olemasLinuxi pahavara tuvastamine paigaldatud. Viiruse- / pahavaratõrje protsess “nõlvadel” tuvastas selle kohe viiruse tüüpi: “{YARA}php_in_image“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
On väga soovitatav omada üks viirusetõrje veebiserveris ja seda tuleb värskendada. Lisaks tuleks viirusetõrje seadistada veebifailides tehtud muudatusi püsivalt jälgima.
WordPressi versioon ja kõik mooduleid (pluginaid) tuleks samuti uuendada. Olen näinud, et kõik WordPressi saidid on nakatunud php.php_.php7_.gif neil on pistikprogramm ühise elemendina “WP ülevaade“. Hiljuti värskenduse saanud pistikprogramm, mille muudatuste logist leiame: Parandatud haavatavus.
Ühe saidi puhul, mida see pahavara mõjutab, leiti failist error.log järgmine rida:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
See paneb mind arvama, et võltspilt laaditi üles selle pistikprogrammi kaudu. Algselt ilmnes viga PORT fastcgi veast.
Oluline mainimine on see, et see viirus / WordPressi pahavara ei võta tegelikult arvesse serveri PHP versiooni. Leidsin selle mõlema pealtPHP 5.6.40 nii edasiPHP 7.1.30.
Artiklit värskendatakse, kui saame lisateavet ründevarafaili php.php_.php7_.gif kohta Meedium →Raamatukogu.
