Nedavno su mi javili čudnu stvar na nekoliko stranica s Wordpress.
Podaci o problemu php.php_.php7_.gif
Tajanstvena pojava a .gif slike s a “x” crno na ružičastoj pozadini. U svim slučajevima datoteka je imala naziv “php.php_php7_.gif“, posvuda ima ista svojstva. Zanimljivo je da ovu datoteku nije postavio određeni korisnik/autor. “Prenio: (bez autora)“.
Naziv datoteke: php.php_php7_.gif
Vrsta datoteke: slika/gif
Učitano na: 11. srpnja 2019
Veličina datoteke:
Dimenzije: 300 x 300 piksela
Titula: php.php_.php7_
Učitao: (bez autora)
Prema zadanim postavkama, ova .GIF datoteka koja izgleda kao a sadrži skriptu, učitava se na poslužitelj u trenutačnu mapu prijenosa s vremenske trake. U navedenim slučajevima: /root/wp-content/uploads/2019/07/.
O alta chestie interesanta este aceea ca fisierul de baza, php.php_.php7_.gif, cel care a fost urcat pe server, nu poate fi deschis de un editor foto. Preview, Photoshop sau oricare altul. In schimb, sličica(Ikone) koje WordPress automatski izrađuje na nekoliko dimenzija, savršeno su funkcionalne .gifs i mogu se otvoriti. A “x” crno na ružičastoj pozadini.
Što je to “php.php_php7_.gif” i kako se možemo riješiti ovih sumnjivih datoteka
Brisanje ovih datoteka najvjerojatnije zlonamjerni softver / virus, nije rješenje ako se ograničimo samo na to. Definitivno php.php_.php7_.gif nije legitimna WordPress datoteka ili stvorena dodatkom.
Na web poslužitelju se vrlo lako može identificirati, ako ga imamoOtkrivanje zlonamjernog softvera za Linux instaliran. Proces protiv virusa/zlonamjernog softvera “padinama” odmah ga je otkrio kao virus tipa: “{YARA}php_u_slici“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Vrlo je preporučljivo imati jedan antivirusni program na web poslužitelju i mora se ažurirati. Osim toga, antivirusni program trebao bi biti postavljen da trajno prati promjene napravljene na web datotekama.
WordPress verzija i sve module (dodatke) također treba ažurirati. Koliko sam vidio, sve WordPress stranice zaražene su php.php_php7_.gif imaju dodatak kao zajednički element “WP pregled“. Dodatak koji je nedavno dobio ažuriranje, u čijem dnevniku promjena nalazimo: Riješen problem ranjivosti.
Za jedno od mjesta zahvaćenih ovim zlonamjernim softverom, u error.logu je pronađen sljedeći redak:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
To me navodi na pomisao da je lažna slika postavljena putem ovog dodatka. Pogreška se inicijalno pojavljuje iz pogreške PORT fastcgi.
Važno je spomenuti da ovaj virus/WordPress malware zapravo ne uzima u obzir PHP verziju na poslužitelju. Našao sam oboje naPHP 5.6.40 kao iPHP 7.1.30.
Članak će se ažurirati kako saznamo više o datoteci zlonamjernog softvera php.php_.php7_.gif koja se nalazi u Medija →Knjižnica.
