php.php_.php7_.gif-WordPress恶意软件(媒体库中的粉红色X图像)

最近在几个网站上向我报告了一件奇怪的事情 WordPress.

问题数据php.php_.php7_.gif

一个神秘的外观 .gif图像,粉红色的背景上带有黑色的“ X”。 在所有情况下,文件都被命名为“php.php_.php7_.gif”,到处都有相同的属性。 有趣的是该文件尚未由特定用户/作者上载。 ”上传者:(无作者)“。

File 名称: php.php_.php7_.gif
File 类型: image / gif
上传时间: 11年2019月XNUMX日
File 尺寸:
外形尺寸: 300由300像素组成
职称:php.php_.php7_
上传者:(没有作者)

By default,这个.GIF文件看起来像 包含一个脚本,在服务器上加载 当前上传文件夹 从年代史。 在给定的情况下: /根/可湿性粉剂内容/上传/ 2019 / 07 /.
另一个有趣的事情是,文件的基本php.php_.php7_.gif,谁被放到服务器上无法打开照片编辑器。 预览,Photoshop或任何其他。 取而代之的是, 缩略图WordPress在多个维度上自动制作的(图标)功能完善的.gifs,可以打开。 粉红色背景上的黑色“ X”。

什么是“ php.php_.php7_.gif”,我们如何摆脱这些可疑文件?

最有可能删除这些文件 恶意软件 / 病毒如果我们仅限于此,那就不是解决方案了。 当然php.php_.php7_.gif不是合法的WordPress文件或由插件创建。
在Web服务器上,如果有的话,可以很容易地识别它 Linux恶意软件检测  已安装。 “的防病毒/反恶意软件过程maldet“立即将其检测为以下类型的病毒:”{} YARA php_in_image=

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

强烈建议有一个 Web服务器上的防病毒软件并将其更新到目前为止。 此外,防病毒设置为永久监视对Web文件的更改。
WordPress版本 和所有 模块(插件)也会更新。 据我所见,所有WordPress网站都感染了 php.php_.php7_.gif 有一个共同的要素是“WP回顾”。 最近在其变更日志中收到更新的插件,我们发现: 修复了漏洞问题.

对于受此恶意软件影响的其中一个站点,在error.log中找到以下行:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

这让我觉得通过这个插件上传了虚假图像。 该错误首先来自fastcgi PORT错误。
一个重要的注意事项是,此恶意软件/ WordPress并未真正考虑服务器上的PHP版本。 我发现了这两个 PHP 5.6.40的 和 PHP 7.1.30的.

当我们发现有关php.php_.php7_.gif恶意软件文件的更多信息时,本文将进行更新。 媒体 →  图书馆.

php.php_.php7_.gif-WordPress恶意软件(媒体库中的粉红色X图像)

关于作者

隐形

对所有小工具和IT充满热情,我对隐身性感到高兴settings.com自2006年以来,我希望与您一起发现有关计算机和操作系统macOS,Linux, Windows,iOS和Android。

发表评论