php.php_.php7_.gif - มัลแวร์ WordPress (Pink X Image ใน Media Library)

มีเรื่องแปลก ๆ เกิดขึ้นกับฉันเมื่อเร็ว ๆ นี้ในเว็บไซต์หลายแห่งด้วย WordPress.

ข้อมูลปัญหา php.php_.php7_.gif

ลักษณะลึกลับของ .gif ภาพที่มี "X" สีดำบนพื้นหลังสีชมพู. ในทุกกรณีไฟล์นี้มีชื่อว่า "php.php_.php7_.gif"มีคุณสมบัติเหมือนกันทุกที่ ส่วนที่น่าสนใจคือไฟล์นี้ยังไม่ได้อัพโหลดโดยผู้ใช้ / ผู้เขียนเฉพาะ "อัปโหลดโดย: (ไม่มีผู้เขียน)"

ชื่อไฟล์: php.php_.php7_.gif
ประเภทไฟล์: ภาพ / GIF
อัปโหลดเมื่อ: กรกฎาคม 11, 2019
ขนาดไฟล์:
ขนาด: 300 xNUMX พิกเซล
หัวข้อ: php.php_.php7_
อัปโหลดโดย: (ไม่มีผู้เขียน)

โดยค่าเริ่มต้นไฟล์. GIF นี้ดูเหมือนจะเป็น มีสคริปต์มีการโหลดบนเซิร์ฟเวอร์ใน โฟลเดอร์อัพโหลดปัจจุบัน จากเหตุการณ์ ในกรณีที่กำหนด: / ราก / wp-content / uploads / 2019 / 07 /.
อีกสิ่งที่น่าสนใจคือไฟล์ฐาน php.php_.php7_.gif ซึ่งถูกอัพโหลดไปยังเซิร์ฟเวอร์ไม่สามารถเปิดได้โดยโปรแกรมแก้ไขรูปภาพ ดูตัวอย่าง, Photoshop หรืออื่น ๆ แทน ภาพขนาดย่อ(ไอคอน) สร้างโดยอัตโนมัติโดย WordPress ในหลายขนาดทำงานได้อย่างสมบูรณ์แบบ. gif และสามารถเปิดได้ "X" ดำบนพื้นหลังสีชมพู

"php.php_.php7_.gif" คืออะไรและเราจะกำจัดไฟล์ที่น่าสงสัยเหล่านี้ได้อย่างไร

ลบไฟล์เหล่านี้มากที่สุด มัลแวร์ / ไวรัสมันไม่ใช่วิธีแก้ปัญหาถ้าเรา จำกัด ตัวเองเพียงแค่นั้น แน่นอนว่า php.php_.php7_.gif ไม่ใช่ไฟล์ WordPress ที่ถูกต้องหรือสร้างโดยปลั๊กอิน
บนเว็บเซิร์ฟเวอร์มันสามารถระบุได้ง่ายถ้าเรามี Linux Malware Detect การติดตั้ง กระบวนการต่อต้านไวรัส / มัลแวร์ของ "maldet"ตรวจพบทันทีว่าเป็นไวรัสประเภท:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

ขอแนะนำอย่างยิ่งที่จะมีหนึ่ง ป้องกันไวรัสบนเว็บเซิร์ฟเวอร์และอัปเดตเป็นข้อมูลล่าสุด. นอกจากนี้โปรแกรมป้องกันไวรัสถูกตั้งค่าให้ตรวจสอบการเปลี่ยนแปลงไฟล์เว็บอย่างถาวร
รุ่น WordPress และทุก ปรับปรุงโมดูล (ปลั๊กอิน) ด้วย. เท่าที่ฉันเห็นไซต์ WordPress ทั้งหมดติดเชื้อ php.php_.php7_.gif มีองค์ประกอบปลั๊กอินทั่วไป "รีวิว WP" ปลั๊กอินที่เพิ่งได้รับการอัปเดตในรายการเปลี่ยนแปลงที่เราพบ: แก้ไขปัญหาช่องโหว่.

สำหรับหนึ่งในเว็บไซต์ที่ได้รับผลกระทบจากมัลแวร์นี้ใน error.log พบบรรทัดต่อไปนี้:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

ทำให้ฉันคิดว่าการอัปโหลดภาพปลอมทำผ่านปลั๊กอินนี้ ข้อผิดพลาดเกิดขึ้นครั้งแรกจากข้อผิดพลาด fastcgi PORT
สิ่งสำคัญที่ควรทราบคือมัลแวร์ / WordPress นี้ไม่ได้คำนึงถึงเวอร์ชัน PHP บนเซิร์ฟเวอร์ ฉันพบมันทั้งคู่ PHP ฮิต และ PHP ฮิต.

บทความจะได้รับการอัปเดตเมื่อเราค้นหาข้อมูลเพิ่มเติมเกี่ยวกับไฟล์ php.php_.php7_.gif มีไฟล์มัลแวร์อยู่ใน ภาพบรรยากาศห้องสมุด.

php.php_.php7_.gif - มัลแวร์ WordPress (Pink X Image ใน Media Library)

เกี่ยวกับผู้เขียน

ชิงทรัพย์

หลงใหลเกี่ยวกับทุกอย่างที่แกดเจ็ตและไอทีเขียนยินดี stealthsettings.com ของ 2006 และผมชอบที่จะค้นพบสิ่งใหม่ ๆ กับคุณเกี่ยวกับคอมพิวเตอร์และ MacOS, Linux, Windows, iOS และ Android

3 คอมเมนต์

  • ฉันเพิ่งไปโพสต์ของคุณสำหรับการเปิดเผย CVE จาก WP Review สำหรับช่องโหว่นี้ ฉันพบว่าพวกเขาแก้ไขได้ที่ไหนและฉันแสดงความคิดเห็นที่นั่นเพื่อขอให้พวกเขาสร้างโพสต์ CVE / สาธารณะ https://github.com/MyThemeShopTeam/WP-Review/commit/1eff057e8c8c77cd792898a35d3c1def6bfb5642

    กล่าวโดยย่อใน 5.2.2 พวกเขาลบตัวเลือก "อัปโหลดภาพความคิดเห็นด้วย Ajax" ซึ่งอาจถูกละเมิดในผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์รุ่นก่อนหน้า

    • ขอบคุณสำหรับความคิดเห็นของคุณอังเดร!
      ฉันคิดว่ามีปัญหาหลังจากเห็นบันทึก "action = wpr-upload-comment-image" และอัปเดตที่มีอยู่ในปลั๊กอิน
      อย่างไรก็ตามมันเป็นสิ่งที่ดีที่ในกรณีของฉันไม่มีอะไรสามารถทำได้บนเซิร์ฟเวอร์

  • ฉันยังได้รับไฟล์ภาพนี้ php.php_.php7_.gif ในเวิร์ดเพรสฉันควรทำอะไรตอนนี้ ฉันต้องลบมันไปใน galerry wordpress โปรดอย่าลังเลที่จะ ...

แสดงความคิดเห็น