Недавно было зарегистрировано странная вещь на нескольких сайтах с WordPressПолем
Php.php_.php7_.gif
Таинственный внешний вид .Gif изображения с “Х” черный на розовом фонеПолем Во всех случаях в файле было имя “php.php_.php7_.gif“, имея одинаковые свойства повсюду. Интересно, что этот файл не имеет загрузки пользователем / автором. “Загружено: (без автора)“Полем
Имя файла: php.php_.php7_.gif
Тип файла: Изображение/GIF
Загружено: 11 июля 2019 года
Размер файла:
Размеры: 300 на 300 пикселей
Заголовок: php.php_.php7_
Загружено: (нет автора)
По умолчанию этот файл .gif, который кажется Содержит сценарий, загружается на сервер в текущая папка загрузки от хронологии. В данных случаях: /root/wp-content/uploads/2019/07/Полем
Еще одна интересная вещь заключается в том, что базовый файл, php.php_.php7_.gif, тот, кто поднялся на сервер, не может быть открыт редактором фото. Предварительный просмотр, Photoshop или любой другой. Вместо Миниатюра(Иконы), сделанные WordPress в нескольких измерениях, совершенно функциональны и могут быть открыты. А “Х” Черный на розовом фоне.
Что это такое “php.php_.php7_.gif” И как мы можем избавиться от этих подозрительных файлов
Удалить эти файлы наиболее вероятно вредоносное ПО / вирус, это не решение, если мы ограничим себя этим. Определенно php.php_.php7_.gif не является законным файлом WordPress или создан плагином.
На веб -сервере он может быть идентифицирован очень легко, если у нас естьLinux вредоносная программа обнаружена установлен. Антивирус / антимоловный процесс “обед” немедленно обнаружил его как вирус типа: “{Yara} php_in_image“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Настоятельно рекомендуется иметь Антивирус на веб -сервере, и он обновлен актуальноПолем Кроме того, антивирус должен быть настроен на постоянное мониторинг изменений, внесенных в веб -файлы.
Версия WordPress И все Модули (плагины) тоже будут обновлятьПолем Насколько я видел, все вирус веб -сайтов WordPress с php.php_.php7_.gif иметь общий элемент плагина “WP обзор“Полем Плагин, который только что получил на некоторое время обновление, в котором мы находим Changlog: Фиксированная проблема уязвимостиПолем
Для одного из веб -сайтов, затронутых этим вредоносным программным обеспечением, по ошибке. Log была найдена следующая строка:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Это заставляет меня идти с мыслью, что загрузка ложного изображения была сделана через этот плагин. Ошибка, первоначально появляющаяся из ошибки порта FastCGI.
Важным упоминанием является то, что это вредоносное ПО из вируса / WordPress не учитывает версию PHP на сервере. Я нашел это так много наPHP 5.6.40 а также наPHP 7.1.30Полем
Статья будет обновлена, поскольку мы найдем данные о вредоносном ПОР PHP.PHP_.PHP7_.GIF, присутствующий в СМИ →БиблиотекаПолем
