Man nesen tika ziņots par dīvainu lietu vairākās vietnēs ar WordPressApvidū
Problēmas dati php.php_.php7_.gif
Noslēpumainā parādīšanās a .gif attēli ar a “Netraucēts” melns uz rozā fona. Visos gadījumos failam bija nosaukums “php.php_.php7_.gif“, kam visur ir vienādas īpašības. Interesantā daļa ir tāda, ka šo failu nav augšupielādējis konkrēts lietotājs/autors. “Augšupielādēja: (nav autora)“Apvidū
Faila nosaukums: php.php_.php7_.gif
Faila tips: attēls/gifs
Augšupielādēts: 2019. gada 11. jūlijs
Faila lielums:
Izmēri: 300x300 pikseļi
Nosaukums: php.php_.php7_
Augšupielādēja: (nav autora)
Pēc noklusējuma šis .GIF fails, kas izskatās kā a satur skriptu, tiek augšupielādēts serverī pašreizējā augšupielādes mape no laika skalas. Noteiktajos gadījumos: /root/wp-content/uploads/2019/07/Apvidū
Vēl interesanti ir tas, ka bāzes failu php.php_.php7_.gif, kas tika augšupielādēts serverī, nevar atvērt ar fotoattēlu redaktoru. Priekšskatījums, Photoshop vai kāds cits. Tā vietā sīktēlsWordPress automātiski izveidotās (ikonas) vairākās dimensijās ir nevainojami funkcionālas .gif formātā, un tās var atvērt. A “Netraucēts” melns uz rozā fona.
Kas tas ir “php.php_.php7_.gif” un kā mēs varam atbrīvoties no šiem aizdomīgajiem failiem
Šo failu dzēšana visticamāk ļaunprātīga programmatūra / vīruss, tas nav risinājums, ja aprobežojamies tikai ar to. Noteikti php.php_.php7_.gif nav likumīgs WordPress fails vai nav izveidots ar spraudni.
Tīmekļa serverī to var ļoti viegli identificēt, ja tāds irLinux ļaunprātīgas programmatūras atklāšana uzstādīta. Pretvīrusu/ļaunprātīgo programmu novēršanas process “nogāzes” nekavējoties atklāja to kā šāda veida vīrusu: “{YARA}php_in_image“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Ir ļoti ieteicams tādu iegūt antivīruss tīmekļa serverī, un tas ir jāatjaunina. Turklāt antivīruss ir jāiestata tā, lai tas pastāvīgi uzraudzītu tīmekļa failos veiktās izmaiņas.
WordPress versija un viss moduļi (spraudņi) arī ir jāatjaunina. No tā, ko esmu redzējis, visas WordPress vietnes ir inficētas ar php.php_.php7_.gif viņiem spraudnis ir kopīgs elements “WP apskats“. Spraudnis, kas nesen saņēma atjauninājumu un kura izmaiņu žurnālā mēs atrodam: Novērsta ievainojamības problēmaApvidū
Vienai no vietnēm, ko skārusi šī ļaunprātīga programmatūra, error.log tika atrasta šāda rindiņa:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Tas liek man domāt, ka viltotais attēls tika augšupielādēts, izmantojot šo spraudni. Kļūda sākotnēji parādījās PORT fastcgi kļūdas dēļ.
Svarīgs pieminējums ir tas, ka šis vīruss/WordPress ļaunprogrammatūra īsti neņem vērā servera PHP versiju. Es to atradu ganPHP 5.6.40 kā arī ONPHP 7.1.30Apvidū
Raksts tiks atjaunināts, jo mēs uzzināsim vairāk par ļaunprātīgas programmatūras failu php.php_.php7_.gif, kas atrodas Plašsaziņas līdzekļi →BibliotēkaApvidū
