php.php_.php7_.gif - WordPress-skadlig programvara (Pink X-bild i mediebiblioteket)

En konstig sak rapporterades nyligen till mig på flera platser med Wordpress.

Problemdata php.php_.php7_.gif

Det mystiska utseendet av a .gif-bilder med svart "X" på rosa bakgrund. I alla fall fick filen namnet "php.php_.php7_.gif", Har samma egenskaper överallt. Det intressanta är att den här filen inte har laddats upp av en specifik användare / författare. "Uppladdad av: (ingen författare)".

File Namn: php.php_.php7_.gif
File typ: image / gif
Uppladdad på: Juli 11, 2019
File storlek:
Mått: 300 med 300 pixlar
Titel: php.php_.php7_
Uppladdad av: (ingen författare)

By default, den här .GIF-filen som ser ut innehåller ett manus, laddas på servern i den aktuella uppladdningsmappen från kronologin. I de givna fallen: / Root / wp-content / uploads / 2019 / 07 /.
En annan intressant sak är att filen grundläggande php.php_.php7_.gif, som lades på servern kan inte öppna en fotoredigerare. Förhandsgranska, Photoshop eller någon annan. istället miniatyr(ikonerna) skapas automatiskt av WordPress i flera dimensioner, är perfekt funktionella .gifs och kan öppnas. Ett svart "X" på en rosa bakgrund.

Vad är "php.php_.php7_.gif" och hur kan vi bli av med dessa misstänkta filer?

Ta bort dessa filer med största sannolikhet malware / virus, det är inte en lösning om vi begränsar oss till just det. Visst php.php_.php7_.gif är inte en legitim WordPress-fil eller skapad av ett plugin.
På en webbserver kan det lätt identifieras om vi har Linux Malware Detect  installerad. Anti-virus / anti-malware-processen av “maldet"Upptäck det omedelbart som ett virus av typen:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det rekommenderas starkt att ha en antivirus på webbservern och uppdatera det hittills. Dessutom är antivirusprogrammet inställt för att permanent övervaka ändringar i webbfiler.
WordPress-versionen och alla moduler (plugins) uppdateras också. Såvitt jag såg, alla WordPress-webbplatser smittade med php.php_.php7_.gif har som ett gemensamt element plugin "WP Review". Plugin som nyligen fick en uppdatering i vars ändringslogg vi hittar: Fixat problem med sårbarhet.

För en av de webbplatser som påverkas av detta skadliga program, in error.log hittade följande rad:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får mig att tro att uppladdningen av falska bilder gjordes genom denna plugin. Felet uppstår först från ett snabbfel-fel.
En viktig anmärkning är att denna malware / WordPress inte riktigt tar hänsyn till PHP-versionen på servern. Jag hittade det båda PHP 5.6.40 och PHP 7.1.30.

Artikeln kommer att uppdateras när vi får reda på mer om php.php_.php7_.gif malware filen som finns i Media →  Bibliotek.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är markerade *

Totalt
0
aktier
föregående artikel

502 Bad Gateway / Cloudflare Down - Hur fixar du

nästa artikel

Hur avmarkerar du standardinställningen "Skicka till annorlunda addtryck på "från utcheckningssidan för Woocommerce

Totalt
0
Dela