Nedavno su mi javili čudnu stvar na nekoliko stranica s Wordpress.
Podaci o problemu php.php_.php7_.gif
Tajanstvena pojava a .gif slike s a “X” crno na ružičastoj pozadini. U svim slučajevima datoteka je imala naziv “php.php_php7_.gif“, posvuda ima ista svojstva. Zanimljivo je da ovu datoteku nije postavio određeni korisnik/autor. “Prenio: (bez autora)“.
Naziv datoteke: php.php_php7_.gif
Vrsta datoteke: slika/gif
Učitano na: 11. srpnja 2019
Veličina datoteke:
Dimenzije: 300 x 300 piksela
Titula: php.php_.php7_
Učitao: (bez autora)
Prema zadanim postavkama, ova .GIF datoteka koja izgleda kao a sadrži skriptu, učitava se na poslužitelj u trenutačnu mapu prijenosa s vremenske trake. U navedenim slučajevima: /root/wp-content/uploads/2019/07/.
Još jedna zanimljivost je da osnovnu datoteku, php.php_.php7_.gif, koja je postavljena na server, ne može otvoriti foto editor. Preview, Photoshop ili bilo koji drugi. umjesto toga, sličica(Ikone) koje WordPress automatski izrađuje na nekoliko dimenzija, savršeno su funkcionalne .gifs i mogu se otvoriti. A “X” crno na ružičastoj pozadini.
Što je to “php.php_php7_.gif” i kako se možemo riješiti ovih sumnjivih datoteka
Brisanje ovih datoteka najvjerojatnije zlonamjerni softver / virus, nije rješenje ako se ograničimo samo na to. Definitivno php.php_.php7_.gif nije legitimna WordPress datoteka ili stvorena dodatkom.
Na web poslužitelju se vrlo lako može identificirati, ako ga imamoOtkrivanje zlonamjernog softvera za Linux instaliran. Proces protiv virusa/zlonamjernog softvera “padinama” odmah ga je otkrio kao virus tipa: “{YARA}php_u_slici“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Vrlo je preporučljivo imati jedan antivirusni program na web poslužitelju i mora se ažurirati. Osim toga, antivirusni program trebao bi biti postavljen da trajno prati promjene napravljene na web datotekama.
WordPress verzija i sve module (dodatke) također treba ažurirati. Koliko sam vidio, sve WordPress stranice zaražene su php.php_php7_.gif imaju dodatak kao zajednički element “WP pregled“. Dodatak koji je nedavno dobio ažuriranje, u čijem dnevniku promjena nalazimo: Riješen problem ranjivosti.
Za jedno od mjesta zahvaćenih ovim zlonamjernim softverom, u error.logu je pronađen sljedeći redak:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
To me navodi na pomisao da je lažna slika postavljena putem ovog dodatka. Pogreška se inicijalno pojavljuje iz pogreške PORT fastcgi.
Važno je spomenuti da ovaj virus/WordPress malware zapravo ne uzima u obzir PHP verziju na poslužitelju. Našao sam oboje naPHP 5.6.40 kao iPHP 7.1.30.
Članak će se ažurirati kako saznamo više o datoteci zlonamjernog softvera php.php_.php7_.gif koja se nalazi u Medija →Knjižnica.
