php.php_.php7_.gif - WordPress-skadlig programvara (Pink X-bild i mediebiblioteket)

En konstig sak rapporterades nyligen till mig på flera platser med Wordpress.

Problemdata php.php_.php7_.gif

Det mystiska utseendet av a .gif-bilder med svart "X" på rosa bakgrund. I alla fall fick filen namnet "php.php_.php7_.gif", Har samma egenskaper överallt. Det intressanta är att den här filen inte har laddats upp av en specifik användare / författare. "Uppladdad av: (ingen författare)".

File Namn: php.php_.php7_.gif
File typ: image / gif
Uppladdad på: Juli 11, 2019
File storlek:
Mått: 300 med 300 pixlar
Titel: php.php_.php7_
Uppladdad av: (ingen författare)

By default, den här .GIF-filen som ser ut innehåller ett manus, laddas på servern i den aktuella uppladdningsmappen från kronologin. I de givna fallen: / Root / wp-content / uploads / 2019 / 07 /.
En annan intressant sak är att filen grundläggande php.php_.php7_.gif, som lades på servern kan inte öppna en fotoredigerare. Förhandsgranska, Photoshop eller någon annan. istället miniatyr(ikonerna) skapas automatiskt av WordPress i flera dimensioner, är perfekt funktionella .gifs och kan öppnas. Ett svart "X" på en rosa bakgrund.

Vad är "php.php_.php7_.gif" och hur kan vi bli av med dessa misstänkta filer?

Ta bort dessa filer med största sannolikhet malware / virus, det är inte en lösning om vi begränsar oss till just det. Visst php.php_.php7_.gif är inte en legitim WordPress-fil eller skapad av ett plugin.
På en webbserver kan det lätt identifieras om vi har Linux Malware Detect  installerad. Anti-virus / anti-malware-processen av “maldet"Upptäck det omedelbart som ett virus av typen:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det rekommenderas starkt att ha en antivirus på webbservern och uppdatera det hittills. Dessutom är antivirusprogrammet inställt för att permanent övervaka ändringar i webbfiler.
WordPress-versionen och alla moduler (plugins) uppdateras också. Såvitt jag såg, alla WordPress-webbplatser smittade med php.php_.php7_.gif har som ett gemensamt element plugin "WP Review". Plugin som nyligen fick en uppdatering i vars ändringslogg vi hittar: Fixat problem med sårbarhet.

För en av de webbplatser som påverkas av den här skadliga programvaran, i error.log, hittades följande rad:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får mig att tro att uppladdningen av falska bilder gjordes genom denna plugin. Felet uppstår först från ett snabbfel-fel.
En viktig anmärkning är att denna malware / WordPress inte riktigt tar hänsyn till PHP-versionen på servern. Jag hittade det båda PHP 5.6.40 och PHP 7.1.30.

Artikeln kommer att uppdateras när vi får reda på mer om php.php_.php7_.gif malware filen som finns i Media →  Bibliotek.

php.php_.php7_.gif - WordPress-skadlig programvara (Pink X-bild i mediebiblioteket)

Om författaren

Stealth

Passionerad om allting och IT, jag skriver med glädje om stealthsettings.com sedan 2006 och jag gillar att upptäcka med dig nya saker om datorer och operativsystem macOS, Linux, Windows, iOS och Android.

Lämna en kommentar