Neseniai man buvo pranešta apie keistą dalyką keliose svetainėse su WordPress.

Problemos duomenys php.php_.php7_.gif

Paslaptingas pasirodymas a .gif vaizdai su a “X” juoda rožiniame fone. Visais atvejais failas turėjo pavadinimą “php.php_.php7_.gif“, visur turinčios tas pačias savybes. Įdomiausia tai, kad šio failo neįkėlė konkretus vartotojas / autorius. “Įkėlė: (nėra autoriaus)“.

Failo pavadinimas: php.php_.php7_.gif
Failo tipas: vaizdas/gif
Įkelta: 2019 m. liepos 11 d
Failo dydis:
Matmenys: 300 x 300 pikselių
Pavadinimas: php.php_.php7_
Įkėlė: (nėra autoriaus)

Pagal numatytuosius nustatymus šis .GIF failas, kuris atrodo kaip a yra scenarijus, yra įkeltas į serverį dabartinį įkėlimų aplanką iš laiko juostos. Nurodytais atvejais: /root/wp-content/uploads/2019/07/.
Kitas įdomus dalykas, kad bazinio failo php.php_.php7_.gif, kuris buvo įkeltas į serverį, nuotraukų redaktorius negali atidaryti. Peržiūra, Photoshop ar bet kuri kita. Vietoj to, Miniatiūra„WordPress“ automatiškai sukurtos kelių matmenų (piktogramos) puikiai veikia .gif formatu ir jas galima atidaryti. A “X” juoda rožiniame fone.

Kas tai “php.php_.php7_.gif” ir kaip galime atsikratyti šių įtartinų failų

Greičiausiai ištrinsite šiuos failus kenkėjiška programinė įranga / virusas, tai nėra sprendimas, jei apsiribosime tik tuo. Tikrai php.php_.php7_.gif nėra teisėtas „WordPress“ failas arba sukurtas naudojant papildinį.
Žiniatinklio serveryje jį galima labai lengvai atpažinti, jei tokį turime„Linux“ kenkėjiškų programų aptikimas  įdiegta. Antivirusinis / kovos su kenkėjiška programa procesas “šlaitai” iš karto aptiko jį kaip tokio tipo virusą: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Labai rekomenduojama tokį turėti antivirusinė žiniatinklio serveryje ir ji turi būti atnaujinta. Be to, antivirusinė programa turėtų būti nustatyta nuolat stebėti žiniatinklio failų pakeitimus.
WordPress versija ir viskas moduliai (įskiepiai) taip pat turėtų būti atnaujinti. Kiek mačiau, visos „WordPress“ svetainės yra užkrėstos php.php_.php7_.gif jie turi įskiepį kaip bendrą elementą “WP apžvalga“. Neseniai atnaujintas papildinys, kurio pakeitimų žurnale randame: Ištaisyta pažeidžiamumo problema.

Vienoje iš svetainių, kurias paveikė ši kenkėjiška programa, error.log buvo rasta ši eilutė:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Man atrodo, kad netikras vaizdas buvo įkeltas per šį papildinį. Klaida iš pradžių atsirado dėl PORT fastcgi klaidos.
Svarbu paminėti, kad šis virusas / WordPress kenkėjiška programa tikrai neatsižvelgia į PHP versiją serveryje. Radau abuPHP 5.6.40 taip patPHP 7.1.30.

Straipsnis bus atnaujintas, kai sužinosime daugiau apie kenkėjiškų programų failą php.php_.php7_.gif, esantį Žiniasklaida →Biblioteka.