php.php_.php7_.gif - WordPress Malware (Pink X Image i Media Library)

En konstig sak rapporterades nyligen till mig på flera platser med Wordpress.

Problemdata php.php_.php7_.gif

Det mystiska utseendet av a .gif bilder med en svart "X" på en rosa bakgrund. I alla fall namnges filen "php.php_.php7_.gif", Med samma egenskaper överallt Den intressanta delen är att den här filen inte har laddats upp av en viss användare / författare. "Uppladdad av: (ingen författare)".

Filnamn: php.php_.php7_.gif
Filtyp: image / gif
Uppladdad på: Juli 11, 2019
Filstorlek:
Mått: 300 med 300 pixlar
Titel: php.php_.php7_
Uppladdad av: (ingen författare)

Som standard ser den här .GIF-filen ut som en innehåller ett manus, laddas på servern i den aktuella uppladdningsmappen från kronologin. I de givna fallen: / Root / wp-content / uploads / 2019 / 07 /.
En annan intressant sak är att filen grundläggande php.php_.php7_.gif, som lades på servern kan inte öppna en fotoredigerare. Förhandsgranska, Photoshop eller någon annan. istället miniatyr(ikoner) som skapas automatiskt av WordPress i flera storlekar, fungerar perfekt .gif och kan öppnas. En "X" svart på en rosa bakgrund.

Vad är "php.php_.php7_.gif" och hur kan vi bli av med dessa misstänkta filer

Ta bort dessa filer med största sannolikhet malware / virus, det är inte en lösning om vi begränsar oss till just det. Visst php.php_.php7_.gif är inte en legitim WordPress-fil eller skapad av ett plugin.
På en webbserver kan det lätt identifieras om vi har Linux Malware Detect installerad. Anti-virus / anti-malware processen av "maldet"Detekterade genast det som ett typvirus:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det rekommenderas starkt att ha en antivirus på webbservern och uppdatera det hittills. Dessutom är antivirusprogrammet inställt för att permanent övervaka ändringar i webbfiler.
WordPress-versionen och alla moduler (plugins) uppdateras också. Såvitt jag såg, alla WordPress-webbplatser smittade med php.php_.php7_.gif har som vanligt plugin element "WP Review". Plugin som bara fått en uppdatering i changelog hittar vi: Fixat problem med sårbarhet.

För en av de webbplatser som påverkas av den här skadliga programvaran, i error.log, hittades följande rad:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får mig att tro att uppladdningen av falska bilder gjordes genom denna plugin. Felet uppstår först från ett snabbfel-fel.
En viktig anmärkning är att denna malware / WordPress inte riktigt tar hänsyn till PHP-versionen på servern. Jag hittade det båda PHP 5.6.40 och PHP 7.1.30.

Artikeln kommer att uppdateras när vi får reda på mer om php.php_.php7_.gif malware filen som finns i MediaBibliotek.

php.php_.php7_.gif - WordPress Malware (Pink X Image i Media Library)

Om författaren

Stealth

Passionerad om allt som betyder gadget och IT, jag är glad att skriva på stealthsettings.com från 2006 och jag älskar att upptäcka nya saker om datorer och macOS, Linux-operativsystem, Windows, iOS och Android.

Lämna en kommentar