Minulle ilmoitettiin äskettäin oudosta asiasta useilla sivustoilla WordPress.

Ongelmatiedot php.php_.php7_.gif

Salaperäinen ulkonäkö a .gif-kuvia, joissa on a “X” musta vaaleanpunaisella taustalla. Kaikissa tapauksissa tiedostolla oli nimi “php.php_.php7_.gif“, joilla on samat ominaisuudet kaikkialla. Mielenkiintoinen osa on, että tätä tiedostoa ei ladannut tietty käyttäjä/tekijä. “Lähettäjä: (ei kirjoittajaa)“.

Tiedoston nimi: php.php_.php7_.gif
Tiedostotyyppi: kuva/gif
Ladattu: 11. heinäkuuta 2019
Tiedoston koko:
Mitat: 300 x 300 pikseliä
Otsikko: php.php_.php7_
Lähettäjä: (ei kirjoittajaa)

Oletuksena tämä .GIF-tiedosto, joka näyttää a sisältää käsikirjoituksen, ladataan palvelimelle sisään nykyinen latauskansio aikajanalta. Annetuissa tapauksissa: /root/wp-content/uploads/2019/07/.
Toinen mielenkiintoinen asia on, että palvelimelle ladattua perustiedostoa php.php_.php7_.gif ei voi avata kuvankäsittelyohjelmalla. Esikatselu, Photoshop tai mikä tahansa muu. Sen sijaan pikkukuvaWordPressin automaattisesti useissa mitoissa tekemät (kuvakkeet) ovat täysin toimivia .gif-tiedostoja ja ne voidaan avata. A “X” musta vaaleanpunaisella taustalla.

Mikä se on “php.php_.php7_.gif” ja kuinka voimme päästä eroon näistä epäilyttävistä tiedostoista

Näiden tiedostojen poistaminen todennäköisimmin haittaohjelma - virus, se ei ole ratkaisu, jos rajoitamme vain siihen. Ehdottomasti php.php_.php7_.gif ei ole laillinen WordPress-tiedosto tai lisäosan luoma.
Verkkopalvelimella se voidaan tunnistaa erittäin helposti, jos meillä sellainen onLinuxin haittaohjelmien tunnistus  asennettu. Virustentorjunta / haittaohjelmien torjuntaprosessi “rinteet” havaitsi sen välittömästi seuraavan tyyppiseksi virukseksi: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

On erittäin suositeltavaa hankkia sellainen virustorjunta verkkopalvelimella ja se on päivitettävä. Lisäksi virustorjunta tulee asettaa valvomaan jatkuvasti verkkotiedostoihin tehtyjä muutoksia.
WordPress-versio ja kaikki moduulit (liitännäiset) tulee myös päivittää. Sen mukaan, mitä olen nähnyt, kaikki WordPress-sivustot ovat saastuneet php.php_.php7_.gif niillä on laajennus yhteisenä elementtinä “WP arvostelu“. Äskettäin päivityksen saanut laajennus, jonka muutoslokista löydämme: Korjattu haavoittuvuusongelma.

Yhdelle tämän haittaohjelman vaikutuksesta sivustosta error.log-tiedostosta löytyi seuraava rivi:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Se saa minut ajattelemaan, että väärennetty kuva on ladattu tämän laajennuksen kautta. Virhe ilmeni alun perin PORT fastcgi -virheestä.
Tärkeä maininta on, että tämä virus/WordPress-haittaohjelma ei todellakaan ota huomioon palvelimen PHP-versiota. Löysin sen molemmistaPHP 5.6.40 samoin kuinPHP 7.1.30.

Artikkelia päivitetään, kun saamme lisätietoja php.php_.php7_.gif-haittaohjelmatiedostosta Media →Kirjasto.