Er is onlangs iets vreemds gemeld op meerdere sites met WordPress.
Php.php_.php7_.gif probleemgegevens
Het mysterieuze uiterlijk van een .Gif afbeeldingen met een “X” Zwart op een roze achtergrond. In alle gevallen had het bestand de naam “php.php_.php7_.gif“, met dezelfde eigenschappen overal. Het interessante deel is dat dit bestand niet de upload heeft door een gebruiker / auteur. “Geüpload door: (geen auteur)“.
Bestandsnaam: php.php_.php7_.gif
Bestandstype: Afbeelding/gif
Geüpload op: 11 juli 2019
Bestandsgrootte:
Afmetingen: 300 bij 300 pixels
Titel: php.php_.php7_
Geüpload door: (geen auteur)
Standaard is dit .gif -bestand dat een Bevat een script, wordt op de server geladen de huidige map uploads van de chronologie. In de gegeven gevallen: /root/wp-content/uploads/2019/07/.
O alta chestie interesanta este aceea ca fisierul de baza, php.php_.php7_.gif, cel care a fost urcat pe server, nu poate fi deschis de un editor foto. Preview, Photoshop sau oricare altul. In schimb, miniatuurDe (pictogrammen) gemaakt door WordPress op verschillende dimensies, zijn perfect functioneel en kunnen worden geopend. A “X” Zwart op roze achtergrond.
Wat is het “php.php_.php7_.gif” En hoe kunnen we van deze verdachte bestanden afkomen
Verwijder deze bestanden waarschijnlijk malware / virus, het is geen oplossing als we ons daartoe beperken. Absoluut php.php_.php7_.gif is geen legitiem bestand van WordPress of gemaakt door een plug -in.
Op een webserver kan hij heel gemakkelijk worden geïdentificeerd, als we dat hebben gedaanLinux malware detecteren geïnstalleerd. Het anti-virus / anti-malware-proces van “lunch” onmiddellijk gedetecteerd als een type virus: “{Yara} php_in_image“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Het wordt ten zeerste aanbevolen om een Antivirus op de webserver en het wordt up -to -date bijgewerkt. Bovendien moet het antivirus worden ingesteld om de wijzigingen in webbestanden permanent te controleren.
WordPress -versie En alles Modules (plug -ins) die ook moeten worden bijgewerkt. Voor zover ik zag, alle WordPress -websitesvirus met php.php_.php7_.gif hebben het gemeenschappelijke element van de plug -in “WP Review“. Plug -in die net een tijdje een update heeft ontvangen waarin Changlog we vinden: Probleem opgelost kwetsbaarheid.
Voor een van de websites die door deze malware worden getroffen, werd in fout. Log de volgende regel gevonden:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Het laat me gaan met de gedachte dat de upload van de valse afbeelding is gemaakt door deze plug -in. De fout die aanvankelijk verschijnt uit een FASTCGI -poortfout.
Een belangrijke vermelding is dat dit virus / WordPress -malware geen rekening houdt met de PHP -versie op de server. Ik vond het zo veel opPHP 5.6.40 evenals opPHP 7.1.30.
Het artikel wordt bijgewerkt omdat we gegevens vinden over de malware php.php_.php7_.gif -bestand aanwezig in Media →Bibliotheek.
