php.php_.php7_.gif - Phần mềm độc hại WordPress (Hình ảnh X màu hồng trong Thư viện phương tiện)

Một điều kỳ lạ gần đây đã được báo cáo cho tôi trên một số trang web với WordPress.

Sự cố dữ liệu php.php_.php7_.gif

Sự xuất hiện bí ẩn của một hình ảnh .gif với chữ "X" màu đen trên nền màu hồng. Trong mọi trường hợp, tập tin được đặt tên "php.php_.php7_.gif", Có cùng tính chất ở mọi nơi. Phần thú vị là tệp này chưa được tải lên bởi một người dùng / tác giả cụ thể. "Tải lên bởi: (không có tác giả)".

Tên tập tin: php.php_.php7_.gif
Loại tệp: image / gif
Đã tải lên trên: Tháng Bảy 11, 2019
Kích thước:
Kích thước: 300 bởi 300 pixel
Chức vụ: php.php_.php7_
Tải lên bởi: (không có tác giả)

Theo mặc định, tệp .GIF này dường như là một chứa một kịch bản, được tải trên máy chủ trong thư mục tải lên hiện tại từ niên đại. Trong các trường hợp đã cho: / Root / wp-content / uploads / 2019 / 07 /.
Một điều thú vị khác là tệp cơ sở, php.php_.php7_.gif, được tải lên máy chủ, không thể mở được bằng trình chỉnh sửa ảnh. Xem trước, Photoshop hoặc bất kỳ khác. Thay vào đó, thumbnail(biểu tượng) được tạo tự động bởi WordPress trên nhiều kích thước, hoạt động hoàn hảo .gifs và có thể được mở. Một chữ "X" màu đen trên nền màu hồng.

"Php.php_.php7_.gif" là gì và làm thế nào chúng ta có thể thoát khỏi những tệp đáng ngờ này

Xóa các tệp này rất có thể phần mềm độc hại / Virus, đó không phải là một giải pháp nếu chúng ta giới hạn bản thân mình như vậy. Chắc chắn php.php_.php7_.gif không phải là một tệp WordPress hợp pháp hoặc được tạo bởi một plugin.
Trên một máy chủ web có thể dễ dàng xác định nếu chúng ta có Phát hiện phần mềm độc hại Linux cài đặt. Quá trình chống vi-rút / chống phần mềm độc hại của "maldet"Ngay lập tức phát hiện ra nó là một loại vi-rút:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Rất nên có một diệt virus trên máy chủ web và cập nhật nó cho đến nay. Ngoài ra, phần mềm chống vi-rút được đặt để theo dõi vĩnh viễn các thay đổi đối với các tệp web.
Phiên bản WordPress và tất cả mô-đun (plugin) cũng được cập nhật. Theo như tôi thấy, tất cả các trang web WordPress bị nhiễm php.php_.php7_.gif có phần tử plugin chung "Đánh giá WP". Plugin vừa nhận được bản cập nhật trong danh sách thay đổi mà chúng tôi tìm thấy: Đã khắc phục sự cố lỗ hổng.

Đối với một trong những trang bị ảnh hưởng bởi phần mềm độc hại này, trong error.log, dòng sau đây đã được tìm thấy:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Nó khiến tôi nghĩ rằng việc tải lên các hình ảnh sai lệch đã được thực hiện thông qua plugin này. Lỗi đầu tiên phát sinh từ lỗi PORT fastcgi.
Một lưu ý quan trọng là phần mềm độc hại / WordPress này không thực sự tính đến phiên bản PHP trên máy chủ. Tôi đã tìm thấy cả hai PHP 5.6.40PHP 7.1.30.

Bài viết sẽ được cập nhật khi chúng tôi tìm hiểu thêm về tệp phần mềm độc hại php.php_.php7_.gif có trong Phương tiện truyền thôngThư viện.

php.php_.php7_.gif - Phần mềm độc hại WordPress (Hình ảnh X màu hồng trong Thư viện phương tiện)

Giới thiệu về tác giả

Stealth

Đam mê tất cả những gì tiện ích và CNTT viết stealthsettings.com vui vẻ của 2006 và tôi muốn khám phá những điều mới mẻ với bạn về máy tính và hệ điều hành MacOS, Linux, Windows, iOS và Android.

Để lại một bình luận