php.php_.php7_.gif - Phần mềm độc hại WordPress (Hình ảnh màu hồng X trong Thư viện phương tiện)

Một điều kỳ lạ gần đây đã được báo cáo cho tôi trên một số trang web với WordPress.

Sự cố dữ liệu php.php_.php7_.gif

Sự xuất hiện bí ẩn của một .gif hình ảnh có dấu "X" màu đen trên nền màu hồng. Trong mọi trường hợp, tệp được đặt tên là "php.php_.php7_.gif”, Có tính chất giống nhau ở mọi nơi. Phần thú vị là tệp này chưa được tải lên bởi một người dùng / tác giả cụ thể. "Tải lên bởi: (không có tác giả)".

File tên: php.php_.php7_.gif
File đi: image / gif
Đã tải lên trên: Tháng Bảy 11, 2019
File kích thước:
Kích thước: 300 bởi 300 pixel
Yêu sách: php.php_.php7_
Tải lên bởi: (không có tác giả)

By default, tệp .GIF này trông giống như chứa một kịch bản, được tải trên máy chủ trong thư mục tải lên hiện tại từ niên đại. Trong các trường hợp đã cho: / Root / wp-content / uploads / 2019 / 07 /.
Một điều thú vị khác là tệp cơ sở, php.php_.php7_.gif, được tải lên máy chủ, không thể mở được bằng trình chỉnh sửa ảnh. Xem trước, Photoshop hoặc bất kỳ khác. Thay vào đó, thumbnailcác (biểu tượng) được tạo tự động bởi WordPress trên một số kích thước, là .gifs hoàn hảo hoạt động và có thể mở được. Chữ "X" màu đen trên nền hồng.

"Php.php_.php7_.gif" là gì và làm cách nào để loại bỏ những tệp đáng ngờ này?

Xóa các tệp này rất có thể phần mềm độc hại / Virus, đó không phải là một giải pháp nếu chúng ta giới hạn bản thân mình như vậy. Chắc chắn php.php_.php7_.gif không phải là một tệp WordPress hợp pháp hoặc được tạo bởi một plugin.
Trên một máy chủ web có thể dễ dàng xác định nếu chúng ta có Phát hiện phần mềm độc hại Linux  Cài đặt. Quy trình chống vi-rút / chống phần mềm độc hại của “maldet"Ngay lập tức phát hiện nó là một loại vi-rút:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Rất nên có một diệt virus trên máy chủ web và cập nhật nó cho đến nay. Ngoài ra, phần mềm chống vi-rút được đặt để theo dõi vĩnh viễn các thay đổi đối với các tệp web.
Phiên bản WordPress và tất cả mô-đun (plugin) cũng được cập nhật. Theo như tôi thấy, tất cả các trang web WordPress bị nhiễm php.php_.php7_.gif có như một phần tử chung là plugin "Đánh giá WP". Plugin gần đây đã nhận được bản cập nhật trong bảng thay đổi mà chúng tôi tìm thấy: Đã khắc phục sự cố lỗ hổng.

Đối với một trong những trang bị ảnh hưởng bởi phần mềm độc hại này, trong error.log, dòng sau đây đã được tìm thấy:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Nó khiến tôi nghĩ rằng việc tải lên các hình ảnh sai lệch đã được thực hiện thông qua plugin này. Lỗi đầu tiên phát sinh từ lỗi PORT fastcgi.
Một lưu ý quan trọng là phần mềm độc hại / WordPress này không thực sự tính đến phiên bản PHP trên máy chủ. Tôi đã tìm thấy cả hai PHP 5.6.40 và PHP 7.1.30.

Bài viết sẽ được cập nhật khi chúng tôi tìm hiểu thêm về tệp phần mềm độc hại php.php_.php7_.gif có trong Phương tiện truyền thông →  Thư viện.

php.php_.php7_.gif - Phần mềm độc hại WordPress (Hình ảnh màu hồng X trong Thư viện phương tiện)

Giới thiệu về tác giả

Stealth

Đam mê về mọi thứ tiện ích và CNTT, tôi thích thú khi viết về tính năng ẩnsettings.com từ năm 2006 và tôi muốn cùng bạn khám phá những điều mới mẻ về máy tính và hệ điều hành macOS, Linux, Windows, iOS và Android.

Để lại một bình luận