php.php_.php7_.gif - תוכנה זדונית של וורדפרס (Pink X תמונה בספריית המדיה)

דבר מוזר דווח לי לאחרונה על כמה אתרים עם וורדפרס.

נתוני בעיה php.php_.php7_.gif

המראה המסתורי של א תמונות .gif עם "X" שחור על רקע ורוד. בכל המקרים, שם הקובץ היה "php.php_.php7_.gif", בעל אותם מאפיינים בכל מקום. החלק המעניין הוא שקובץ זה לא הועלה על ידי משתמש / מחבר ספציפי. "הועלה על ידי: (ללא מחבר)

File שֵׁם: php.php_.php7_.gif
File סוג: image / gif
הועלה ב: 11 ביולי 2019
File גודל:
מידה: 300 על ידי 300 פיקסלים
כותרת: php.php_.php7_
הועלה על ידי: (ללא מחבר)

By default, קובץ ה- GIF הזה שנראה כמו מכיל סקריפט, נטען על השרת ב תיקיית ההעלאות הנוכחית מן הכרונולוגיה. במקרים מסוימים: / Root / wp-content / העלאות / 2019 / 07 /.
דבר מעניין נוסף הוא כי php.php_.php7_.gif הבסיסי הקובץ, אשר הועמד על השרת לא יכול לפתוח עורך תמונות. מקדימה, פוטושופ או כל סוג אחר. במקום, תמונה ממוזערתה (סמלים) שנעשו באופן אוטומטי על ידי וורדפרס בכמה ממדים, הם פונקציונליים לחלוטין. מתנות וניתן לפתיחה. "X" שחור על רקע ורוד.

מהו "php.php_.php7_.gif" וכיצד נוכל להיפטר מקבצים חשודים אלה?

מחק את הקבצים האלה ככל הנראה תוכנות זדוניות / וירוסזה לא פתרון, אם רק היינו מוגבל לכך. Php.php_.php7_.gif בהחלט לא קובץ לגיטימי או יצר תוסף וורדפרס.
בשרת אינטרנט זה יכול להיות מזוהה בקלות אם יש לנו לינוקס זיהוי תוכנה זדונית  מוּתקָן. תהליך האנטי-וירוס / נגד תוכנות זדוניות של “maldet"זיהיתי את זה מיד כווירוס:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

מומלץ מאוד לקבל אחד אנטי וירוס בשרת האינטרנט ועדכן אותו עד כה. בנוסף, האנטי וירוס מוגדר לפקח לצמיתות שינויים לקבצי אינטרנט.
גירסת וורדפרס וכל מודולים (plugins) גם להתעדכן. ככל שראיתי, כל אתרי וורדפרס נגועים php.php_.php7_.gif יש כאלמנט משותף את התוסף "סקירת WP". תוסף שקיבל לאחרונה עדכון ברשימת השינויים שאנו מוצאים: בעיית פגיעות קבועה.

עבור אחד האתרים המושפעים מתוכנה זדונית זו, ב- error.log מצא את השורה הבאה:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

זה גורם לי לחשוב כי העלאת תמונות שווא נעשה באמצעות התוספת. השגיאה הראשונה נובעת משגיאת Portcgi PORT.
הערה חשובה היא כי תוכנה זדונית / וורדפרס לא באמת לקחת בחשבון את גירסת PHP בשרת. מצאתי את שניהם PHP 5.6.40 ו PHP 7.1.30.

המאמר עודכן ככל שאנו לומדים יותר על נתונים זדוניים כרגע php.php_.php7_.gif עיתונות →  סִפְרִיָה.

php.php_.php7_.gif - תוכנה זדונית של וורדפרס (Pink X תמונה בספריית המדיה)

על הסופר

התגנבות

נלהב מכל דבר גאדג'ט ו- IT, אני כותב בהנאה על התגנבותsettings.com מאז 2006 ואני רוצה לגלות איתך דברים חדשים על מחשבים ומערכות הפעלה macמערכת הפעלה, לינוקס, Windows, iOS ואנדרואיד.

השאירו תגובה