Na viacerých stránkach bola nedávno hlásená zvláštna vec WordPress.
PhP.php_.php7_.gif Problémové údaje
Tajomný vzhľad a .Gif obrázky s a “X” čierna na ružovom pozadí. Vo všetkých prípadoch mal súbor názov “php.php_.php7_.gif“, mať rovnaké vlastnosti všade. Zaujímavou časťou je, že tento súbor nemá nahrávanie používateľom / autorom. “Nahrané: (žiadny autor)“.
Názov súboru: php.php_.php7_.gif
Typ súboru: obraz
Nahrané na: 11. júla 2019
Veľkosť súboru:
Rozmery: 300 x 300 pixelov
Názov: php.php_.php7_
Nahrané: (žiadny autor)
V predvolenom nastavení tento súbor .gif, ktorý sa zdá byť Obsahuje skript, je načítaný na serveri v Aktuálny odovzdáva priečinok z chronológie. V daných prípadoch: /root/wp-content/nahrávky/2019/07/.
Ďalšou zaujímavou vecou je, že základný súbor, php.php_.php7_.gif, ten, ktorý bol vylieznutý na server, nemôže otvoriť fotografiu editora. Ukážka, photoshop alebo akákoľvek iná. Namiesto toho miniatúra(Ikony) vyrobené WordPressom v niekoľkých rozmeroch sú dokonale funkčné a môžu sa otvoriť. A “X” čierna na ružovom pozadí.
Čo je to “php.php_.php7_.gif” A ako sa môžeme zbaviť týchto podozrivých súborov
S najväčšou pravdepodobnosťou odstráňte tieto súbory škodlivý / vírus, nie je to riešenie, ak sa na to obmedzíme. Určite php.php_.php7_.gif nie je legitímny súbor WordPress alebo vytvorený doplnkom.
Na webovom serveri je možné identifikovať veľmi ľahko, ak mámeDetekcia škodlivého softvéru Linux nainštalovaný. Proces antivírusového / anti-Malware of “obed” Okamžite ho zistil ako vírus typu: “{Yara} php_in_image“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Dôrazne sa odporúča mať a antivírus na webovom serveri a aktualizuje sa aktuálny. Antivírus by mal byť navyše nastavený tak, aby trvalo monitoroval zmeny vykonané v webových súboroch.
Verzia WordPress A všetko moduly (doplnky), ktoré sa majú aktualizovať aj. Pokiaľ som videl, všetky webové stránky WordPress s vírusom php.php_.php7_.gif mať spoločný prvok doplnku “Recenzia WP“. Plugin, ktorý práve na chvíľu dostal aktualizáciu, v ktorej nájdeme ChangLog: Opravená zraniteľnosť.
Pre jeden z webových stránok ovplyvnených týmto škodlivým softvérom bol nájdený nasledujúci riadok:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
To ma núti ísť s myšlienkou, že nahrávanie falošného obrázka bolo uskutočnené týmto doplnkom. Chyba sa pôvodne objavila z chyby portu FastCGI.
Dôležitá zmienka je, že tento škodlivý softvér Virus / WordPress nezohľadňuje verziu PHP na serveri. Našiel som to toľkoPHP 5.6.40 rovnako akoPHP 7.1.30.
Článok bude aktualizovaný, keď nájdeme údaje na malware php.php_.php7_.gif Médium →Knižnica.
