Er is onlangs iets vreemds gemeld op meerdere sites met WordPress.
Php.php_.php7_.gif probleemgegevens
Het mysterieuze uiterlijk van een .Gif afbeeldingen met een “X” Zwart op een roze achtergrond. In alle gevallen had het bestand de naam “php.php_.php7_.gif“, met dezelfde eigenschappen overal. Het interessante deel is dat dit bestand niet de upload heeft door een gebruiker / auteur. “Geüpload door: (geen auteur)“.
Bestandsnaam: php.php_.php7_.gif
Bestandstype: Afbeelding/gif
Geüpload op: 11 juli 2019
Bestandsgrootte:
Afmetingen: 300 bij 300 pixels
Titel: php.php_.php7_
Geüpload door: (geen auteur)
Standaard is dit .gif -bestand dat een Bevat een script, wordt op de server geladen de huidige map uploads van de chronologie. In de gegeven gevallen: /root/wp-content/uploads/2019/07/.
Een ander interessant ding is dat het basisbestand, php.php_.php7_.gif, degene die op de server is geklommen, niet kan worden geopend door een foto -editor. Preview, Photoshop of een andere. In plaats van miniatuurDe (pictogrammen) gemaakt door WordPress op verschillende dimensies, zijn perfect functioneel en kunnen worden geopend. A “X” Zwart op roze achtergrond.
Wat is het “php.php_.php7_.gif” En hoe kunnen we van deze verdachte bestanden afkomen
Verwijder deze bestanden waarschijnlijk malware / virus, het is geen oplossing als we ons daartoe beperken. Absoluut php.php_.php7_.gif is geen legitiem bestand van WordPress of gemaakt door een plug -in.
Op een webserver kan hij heel gemakkelijk worden geïdentificeerd, als we dat hebben gedaanLinux malware detecteren geïnstalleerd. Het anti-virus / anti-malware-proces van “lunch” onmiddellijk gedetecteerd als een type virus: “{Yara} php_in_image“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Het wordt ten zeerste aanbevolen om een Antivirus op de webserver en het wordt up -to -date bijgewerkt. Bovendien moet het antivirus worden ingesteld om de wijzigingen in webbestanden permanent te controleren.
WordPress -versie En alles Modules (plug -ins) die ook moeten worden bijgewerkt. Voor zover ik zag, alle WordPress -websitesvirus met php.php_.php7_.gif hebben het gemeenschappelijke element van de plug -in “WP Review“. Plug -in die net een tijdje een update heeft ontvangen waarin Changlog we vinden: Probleem opgelost kwetsbaarheid.
Voor een van de websites die door deze malware worden getroffen, werd in fout. Log de volgende regel gevonden:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Het laat me gaan met de gedachte dat de upload van de valse afbeelding is gemaakt door deze plug -in. De fout die aanvankelijk verschijnt uit een FASTCGI -poortfout.
Een belangrijke vermelding is dat dit virus / WordPress -malware geen rekening houdt met de PHP -versie op de server. Ik vond het zo veel opPHP 5.6.40 evenals opPHP 7.1.30.
Het artikel wordt bijgewerkt omdat we gegevens vinden over de malware php.php_.php7_.gif -bestand aanwezig in Media →Bibliotheek.
