Niedawno na kilku stronach zgłoszono mi dziwną rzecz WordPress.

Dane problemu php.php_.php7_.gif

Tajemnicze pojawienie się A obrazy .gif z rozszerzeniem .gif “X” czarny na różowym tle. We wszystkich przypadkach plik miał nazwę “php.php_.php7_.gif“, mający wszędzie te same właściwości. Co ciekawe, plik ten nie został przesłany przez konkretnego użytkownika/autora. “Przesłane przez: (bez autora)“.

Nazwa pliku: php.php_.php7_.gif
Typ pliku: obraz/gif
Przesłano: 11 lipca 2019 r
Rozmiar pliku:
Wymiary: 300 na 300 pikseli
Tytuł: php.php_.php7_
Przesłane przez: (bez autora)

Domyślnie ten plik .GIF, który wygląda jak zawiera skrypt, jest przesyłany na serwer w bieżący folder przesyłania z osi czasu. W podanych przypadkach: /root/wp-content/uploads/2019/07/.
O alta chestie interesanta este aceea ca fisierul de baza, php.php_.php7_.gif, cel care a fost urcat pe server, nu poate fi deschis de un editor foto. Preview, Photoshop sau oricare altul. In schimb, zwięzły-urile (pictogramele) facute automat de WordPress pe mai multe dimensiuni, sunt .gif-uri perfect functionale si se pot deschide. Un “X” negru pe fond roz.

Co to jest “php.php_.php7_.gif” si cum putem sa scapam de aceste fisiere suspecte

Stergerea acestor fisiere cel mai probabil złośliwe oprogramowanie / wirus, nu este o solutie daca ne limitam doar la atat. Cu siguranta php.php_.php7_.gif nu este un fisier legitim al WordPress sau creat de un plugin.
Pe un server web el poate fi identificat foarte usor, daca avemLinux Malware Detect  instalat. Procesul anti-virus / anti-malware al “maldet” l-a detectat imediat ca fiind un virus de tip: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Zdecydowanie zaleca się posiadanie takiego urządzenia program antywirusowy na serwerze internetowym i należy go zaktualizować. Ponadto program antywirusowy powinien być ustawiony tak, aby stale monitorował zmiany wprowadzane w plikach internetowych.
Wersja WordPressa Razem z moduły (wtyczki) również powinny zostać zaktualizowane. Z tego, co widziałem, wszystkie witryny WordPress są zainfekowane php.php_.php7_.gif mają wtyczkę jako wspólny element “Przegląd WP“. Wtyczka, która niedawno otrzymała aktualizację, w której dzienniku zmian znajdziemy: Naprawiono problem z podatnością.

W przypadku jednej z witryn dotkniętych tym złośliwym oprogramowaniem w pliku error.log znaleziono następujący wiersz:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Wydaje mi się, że fałszywy obraz został przesłany za pośrednictwem tej wtyczki. Błąd początkowo pojawiający się z powodu błędu PORT fastcgi.
O mentiune importanta este ca acest virus / WordPress malware nu prea tine cont de versiunea PHP de pe server. Am gasit-o atat pePHP 5.6.40 a takżePHP 7.1.30.

Articolul va fi actualizat pe masura ce mai aflam date despre fisierul malware php.php_.php7_.gif prezent in Głoska bezdźwięczna →Biblioteka.