มีเรื่องแปลก ๆ เกิดขึ้นกับฉันเมื่อเร็ว ๆ นี้ในเว็บไซต์หลายแห่งด้วย Wordข่าวประชาสัมพันธ์.
ข้อมูลปัญหา php.php_.php7_.gif
ลักษณะลึกลับของ .gif ภาพที่มี "X" สีดำบนพื้นหลังสีชมพู. ในทุกกรณีไฟล์ถูกตั้งชื่อว่า "php.php_.php7_.gif"มีคุณสมบัติเหมือนกันทุกที่ ส่วนที่น่าสนใจคือไฟล์นี้ไม่ได้ถูกอัพโหลดโดยผู้ใช้ / ผู้เขียนที่ระบุ "อัปโหลดโดย: (ไม่มีผู้เขียน)"
ชื่อไฟล์: php.php_.php7_.gif
ประเภทไฟล์: ภาพ / GIF
อัปโหลดเมื่อ: กรกฎาคม 11, 2019
ขนาดไฟล์:
ขนาด: 300 xNUMX พิกเซล
ชื่อหนังสือ: php.php_.php7_
อัปโหลดโดย: (ไม่มีผู้เขียน)
ตามค่าเริ่มต้น ไฟล์ .GIF ที่มีลักษณะเช่นนี้ มีสคริปต์มีการโหลดบนเซิร์ฟเวอร์ใน โฟลเดอร์อัพโหลดปัจจุบัน จากเหตุการณ์ ในกรณีที่กำหนด: / ราก / wp-content / uploads / 2019 / 07 /.
อีกสิ่งที่น่าสนใจคือไฟล์ฐาน php.php_.php7_.gif ซึ่งถูกอัพโหลดไปยังเซิร์ฟเวอร์ไม่สามารถเปิดได้โดยโปรแกรมแก้ไขรูปภาพ ดูตัวอย่าง, Photoshop หรืออื่น ๆ แทน ภาพขนาดย่อ(ไอคอน) ทำโดยอัตโนมัติโดย WordPress ไฟล์ .gif หลายขนาดทำงานได้อย่างสมบูรณ์และสามารถเปิดได้ "X" สีดำบนพื้นหลังสีชมพู
"php.php_.php7_.gif" คืออะไรและเราจะกำจัดไฟล์ที่น่าสงสัยเหล่านี้ได้อย่างไร
ลบไฟล์เหล่านี้มากที่สุด มัลแวร์ / ไวรัสไม่ใช่วิธีแก้ปัญหาหากเราจำกัดตัวเองให้อยู่แค่นั้น แน่นอนว่า php.php_.php7_.gif ไม่ใช่ไฟล์ที่ถูกต้องตามกฎหมายของ WordPress หรือสร้างโดยปลั๊กอิน
บนเว็บเซิร์ฟเวอร์มันสามารถระบุได้ง่ายถ้าเรามี Linux การตรวจจับมัลแวร์ ติดตั้ง กระบวนการป้องกันไวรัส / มัลแวร์ของ“maldet"ตรวจพบทันทีว่าเป็นไวรัส:"{} YARA php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
ขอแนะนำอย่างยิ่งที่จะมีหนึ่ง ป้องกันไวรัสบนเว็บเซิร์ฟเวอร์และอัปเดตเป็นข้อมูลล่าสุด. นอกจากนี้โปรแกรมป้องกันไวรัสถูกตั้งค่าให้ตรวจสอบการเปลี่ยนแปลงไฟล์เว็บอย่างถาวร
เวอร์ชั่นของ Wordข่าวประชาสัมพันธ์ และทุก ปรับปรุงโมดูล (ปลั๊กอิน) ด้วย. เท่าที่เห็นมาทุกไซต์ WordPress ติดเชื้อกับ php.php_.php7_.gif มีเป็นองค์ประกอบทั่วไปปลั๊กอิน "รีวิว WP". ปลั๊กอินที่เพิ่งได้รับการอัปเดตซึ่งเราพบการเปลี่ยนแปลงที่เราพบ: แก้ไขปัญหาช่องโหว่.
สำหรับไซต์ใดไซต์หนึ่งที่ได้รับผลกระทบจากมัลแวร์นี้ใน error.log พบบรรทัดต่อไปนี้:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
ทำให้ฉันคิดว่าการอัปโหลดภาพปลอมทำผ่านปลั๊กอินนี้ ข้อผิดพลาดเกิดขึ้นครั้งแรกจากข้อผิดพลาด fastcgi PORT
การกล่าวถึงที่สำคัญคือไวรัสนี้ / WordPress มัลแวร์ไม่สนใจเวอร์ชัน PHP บนเซิร์ฟเวอร์มากนัก พบทั้งสองอย่าง PHP ฮิต และ PHP ฮิต.
บทความจะได้รับการอัปเดตเมื่อเราค้นหาข้อมูลเพิ่มเติมเกี่ยวกับไฟล์ php.php_.php7_.gif มีไฟล์มัลแวร์อยู่ใน ภาพบรรยากาศ → ห้องสมุด.
