דבר מוזר דווח לי לאחרונה על כמה אתרים עם WordPress.
נתוני בעיה php.php_.php7_.gif
המראה המסתורי של א תמונות .gif עם "X" שחור על רקע ורוד. בכל המקרים, שם הקובץ היה "php.php_.php7_.gif", בעל אותם מאפיינים בכל מקום. החלק המעניין הוא שקובץ זה לא הועלה על ידי משתמש / מחבר ספציפי. "הועלה על ידי: (ללא מחבר)
שם קובץ: php.php_.php7_.gif
סוג קובץ: image / gif
הועלה ב: 11 ביולי 2019
גודל קובץ:
מידה: 300 על ידי 300 פיקסלים
כותרת: php.php_.php7_
הועלה על ידי: (ללא מחבר)
By default, קובץ ה- GIF הזה שנראה כמו מכיל סקריפט, נטען על השרת ב תיקיית ההעלאות הנוכחית מן הכרונולוגיה. במקרים מסוימים: / Root / wp-content / העלאות / 2019 / 07 /.
דבר מעניין נוסף הוא כי php.php_.php7_.gif הבסיסי הקובץ, אשר הועמד על השרת לא יכול לפתוח עורך תמונות. מקדימה, פוטושופ או כל סוג אחר. במקום, תמונה ממוזערת(סמלים) שנעשו אוטומטית על ידי WordPress בכמה גדלים, קובצי GIF פונקציונליים לחלוטין וניתנים לפתיחה. "X" שחור על רקע ורוד.
מהו "php.php_.php7_.gif" וכיצד נוכל להיפטר מקבצים חשודים אלה?
מחק את הקבצים האלה ככל הנראה תוכנות זדוניות / וירוס, אינו פתרון אם נגביל את עצמנו רק לזה. בהחלט php.php_.php7_.gif אינו קובץ לגיטימי של WordPress או נוצר על ידי תוסף.
בשרת אינטרנט זה יכול להיות מזוהה בקלות אם יש לנו Linux זיהוי תוכנות זדוניות מוּתקָן. תהליך האנטי-וירוס / נגד תוכנות זדוניות של “maldet"זיהיתי את זה מיד כווירוס:"{YARA} php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
מומלץ מאוד לקבל אחד אנטי וירוס בשרת האינטרנט ועדכן אותו עד כה. בנוסף, האנטי וירוס מוגדר לפקח לצמיתות שינויים לקבצי אינטרנט.
גרסה של WordPress וכל מודולים (plugins) גם להתעדכן. ממה שראיתי, כל האתרים WordPress נדבק ב php.php_.php7_.gif יש כאלמנט משותף את התוסף "סקירת WP". תוסף שקיבל לאחרונה עדכון ברשימת השינויים שאנו מוצאים: בעיית פגיעות קבועה.
עבור אחד האתרים המושפעים מתוכנה זדונית זו, ב- error.log מצא את השורה הבאה:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
זה גורם לי לחשוב כי העלאת תמונות שווא נעשה באמצעות התוספת. השגיאה הראשונה נובעת משגיאת Portcgi PORT.
אזכור חשוב הוא שהווירוס הזה / WordPress תוכנה זדונית לא שמה לב הרבה לגרסת ה-PHP בשרת. מצאתי את שניהם PHP 5.6.40 ו PHP 7.1.30.
המאמר עודכן ככל שאנו לומדים יותר על נתונים זדוניים כרגע php.php_.php7_.gif מדיה → סִפְרִיָה.
