Недавно было зарегистрировано странная вещь на нескольких сайтах с WordPress.
Php.php_.php7_.gif
Таинственный внешний вид .Gif изображения с “Икс” черный на розовом фонеПолем Во всех случаях в файле было имя “php.php_.php7_.gif“, имея одинаковые свойства повсюду. Интересно, что этот файл не имеет загрузки пользователем / автором. “Загружено: (без автора)“.
Имя файла: php.php_.php7_.gif
Тип файла: Изображение/GIF
Загружено: 11 июля 2019 года
Размер файла:
Размеры: 300 на 300 пикселей
Заголовок: php.php_.php7_
Загружено: (нет автора)
По умолчанию этот файл .gif, который кажется Содержит сценарий, загружается на сервер в текущая папка загрузки от хронологии. В данных случаях: /root/wp-content/uploads/2019/07/.
O alta chestie interesanta este aceea ca fisierul de baza, php.php_.php7_.gif, cel care a fost urcat pe server, nu poate fi deschis de un editor foto. Preview, Photoshop sau oricare altul. In schimb, Миниатюра(Иконы), сделанные WordPress в нескольких измерениях, совершенно функциональны и могут быть открыты. А “Икс” Черный на розовом фоне.
Что это такое “php.php_.php7_.gif” И как мы можем избавиться от этих подозрительных файлов
Удалить эти файлы наиболее вероятно вредоносное ПО / вирус, это не решение, если мы ограничим себя этим. Определенно php.php_.php7_.gif не является законным файлом WordPress или создан плагином.
На веб -сервере он может быть идентифицирован очень легко, если у нас естьLinux вредоносная программа обнаружена установлен. Антивирус / антимоловный процесс “обед” немедленно обнаружил его как вирус типа: “{Yara} php_in_image“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Настоятельно рекомендуется иметь Антивирус на веб -сервере, и он обновлен актуальноПолем Кроме того, антивирус должен быть настроен на постоянное мониторинг изменений, внесенных в веб -файлы.
Версия WordPress И все Модули (плагины) тоже будут обновлятьПолем Насколько я видел, все вирус веб -сайтов WordPress с php.php_.php7_.gif иметь общий элемент плагина “WP обзор“Полем Плагин, который только что получил на некоторое время обновление, в котором мы находим Changlog: Фиксированная проблема уязвимости.
Для одного из веб -сайтов, затронутых этим вредоносным программным обеспечением, по ошибке. Log была найдена следующая строка:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Это заставляет меня идти с мыслью, что загрузка ложного изображения была сделана через этот плагин. Ошибка, первоначально появляющаяся из ошибки порта FastCGI.
Важным упоминанием является то, что это вредоносное ПО из вируса / WordPress не учитывает версию PHP на сервере. Я нашел это так много наPHP 5.6.40 а также наPHP 7.1.30.
Статья будет обновлена, поскольку мы найдем данные о вредоносном ПОР PHP.PHP_.PHP7_.GIF, присутствующий в СМИ →Библиотека.
