Một điều kỳ lạ gần đây đã được báo cáo cho tôi trên một số trang web với WordPress.
Sự cố dữ liệu php.php_.php7_.gif
Sự xuất hiện bí ẩn của một .gif hình ảnh có dấu "X" màu đen trên nền màu hồng. Trong mọi trường hợp, tệp được đặt tên là "php.php_.php7_.gif”, Có tính chất giống nhau ở mọi nơi. Phần thú vị là tệp này chưa được tải lên bởi một người dùng / tác giả cụ thể. "Tải lên bởi: (không có tác giả)".
Tên tập tin: php.php_.php7_.gif
Loại tệp: image / gif
Đã tải lên trên: 11 Tháng Bảy, 2019
Kích thước:
Kích thước: 300 bởi 300 pixel
Yêu sách: php.php_.php7_
Tải lên bởi: (không có tác giả)
By default, tệp .GIF này trông giống như chứa một kịch bản, được tải trên máy chủ trong thư mục tải lên hiện tại từ niên đại. Trong các trường hợp đã cho: / Root / wp-content / uploads / 2019 / 07 /.
Một điều thú vị khác là tệp cơ sở, php.php_.php7_.gif, được tải lên máy chủ, không thể mở được bằng trình chỉnh sửa ảnh. Xem trước, Photoshop hoặc bất kỳ khác. Thay vào đó, thumbnail(biểu tượng) được tạo tự động bởi WordPress trên một số kích thước, .gifs hoạt động hoàn hảo và có thể mở được. Dấu "X" màu đen trên nền hồng.
"Php.php_.php7_.gif" là gì và làm cách nào để loại bỏ những tệp đáng ngờ này?
Xóa các tệp này rất có thể phần mềm độc hại / Virus, không phải là một giải pháp nếu chúng ta chỉ giới hạn bản thân mình trong đó. Chắc chắn php.php_.php7_.gif không phải là một tệp hợp pháp của WordPress hoặc được tạo bởi một plugin.
Trên một máy chủ web có thể dễ dàng xác định nếu chúng ta có Linux Phát hiện phần mềm độc hại Cài đặt. Quy trình chống vi-rút / chống phần mềm độc hại của “maldet"Ngay lập tức phát hiện nó là một loại vi-rút:"{} YARA php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Rất nên có một diệt virus trên máy chủ web và cập nhật nó cho đến nay. Ngoài ra, phần mềm chống vi-rút được đặt để theo dõi vĩnh viễn các thay đổi đối với các tệp web.
Phiên bản của WordPress và tất cả mô-đun (plugin) cũng được cập nhật. Từ những gì tôi đã thấy, tất cả các trang web WordPress bị nhiễm do php.php_.php7_.gif có như một phần tử chung là plugin "Đánh giá WP". Plugin gần đây đã nhận được bản cập nhật trong bảng thay đổi mà chúng tôi tìm thấy: Đã khắc phục sự cố lỗ hổng.
Đối với một trong các trang web bị ảnh hưởng bởi phần mềm độc hại này, trong error.log tìm thấy dòng sau:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Nó khiến tôi nghĩ rằng việc tải lên các hình ảnh sai lệch đã được thực hiện thông qua plugin này. Lỗi đầu tiên phát sinh từ lỗi PORT fastcgi.
Một đề cập quan trọng là vi rút này / WordPress phần mềm độc hại không chú ý nhiều đến phiên bản PHP trên máy chủ. Tôi tìm thấy cả hai PHP 5.6.40 và PHP 7.1.30.
Bài viết sẽ được cập nhật khi chúng tôi tìm hiểu thêm về tệp phần mềm độc hại php.php_.php7_.gif có trong Phương tiện truyền thông → Thư viện.
