php.php_.php7_.gif - WordPress-Malware (Pink X-Bild in der Medienbibliothek)

Eine seltsame Sache wurde mir kürzlich auf mehreren Seiten mit gemeldet WordPress.

Problemdaten php.php_.php7_.gif

Das mysteriöse Aussehen eines .gif Bilder mit einem schwarzen "X" auf einem rosa Hintergrund. In allen Fällen wurde die Datei "php.php_.php7_.gif", Überall die gleichen Eigenschaften haben. Der interessante Teil ist, dass diese Datei nicht von einem bestimmten Benutzer / Autor hochgeladen wurde. ""Hochgeladen von: (kein Autor)".

File name: php.php_.php7_.gif
File Art: image / gif
Hochgeladen am: July 11, 2019
File Größe:
Abmessungen: 300 von 300 Pixel
Titel : php.php_.php7_
Hochgeladen von: (kein Autor)

By default, diese .GIF-Datei, die aussieht wie enthält ein Skriptwird auf dem Server in geladen den aktuellen Upload-Ordner aus der Chronologie. In den gegebenen Fällen: / Root / wp-content / uploads / 2019 / 07 /.
Eine weitere interessante Sache ist, dass Datei Grund php.php_.php7_.gif, der auf dem Server gesetzt wurde, kann nicht ein Foto-Editor öffnen. Vorschau, Photoshop oder andere. Stattdessen DaumennagelDie (Symbole), die von WordPress automatisch in mehreren Dimensionen erstellt wurden, sind perfekt funktionierende GIFs und können geöffnet werden. Ein schwarzes "X" auf einem rosa Hintergrund.

Was ist "php.php_.php7_.gif" und wie werden diese verdächtigen Dateien entfernt?

Löschen Sie diese Dateien höchstwahrscheinlich Malware / VirusEs ist keine Lösung, wenn wir uns auf genau das beschränken. Sicher, php.php_.php7_.gif ist keine legitime WordPress-Datei oder wird von einem Plugin erstellt.
Auf einem Webserver kann es leicht identifiziert werden, wenn wir haben Linux Malware Detect  Eingerichtet. Der Antiviren- / Anti-Malware-Prozess von „maldet"Es wurde sofort als Virus des Typs erkannt:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Es wird dringend empfohlen, eine zu haben Antivirus auf dem Webserver und aktualisieren Sie es auf dem neuesten Stand. Darüber hinaus überwacht das Virenschutzprogramm permanent Änderungen an Webdateien.
Die WordPress-Version und all Module (Plugins) werden ebenfalls aktualisiert. Soweit ich gesehen habe, sind alle WordPress-Seiten mit infiziert php.php_.php7_.gif habe als gemeinsames Element das Plugin "WP Bewertung". Plugin, das kürzlich ein Update erhalten hat, in dessen Änderungsprotokoll wir finden: Schwachstellenproblem behoben.

Für eine der von dieser Malware betroffenen Websites in error.log hat die folgende Zeile gefunden:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Ich habe den Eindruck, dass der Upload falscher Bilder über dieses Plug-In erfolgt ist. Der Fehler ergibt sich zunächst aus einem fastcgi-PORT-Fehler.
Ein wichtiger Hinweis ist, dass diese Malware / WordPress die PHP-Version auf dem Server nicht wirklich berücksichtigt. Ich habe beides gefunden PHP 5.6.40 und PHP 7.1.30.

Der Artikel wird aktualisiert, sobald wir mehr über die Malware-Datei php.php_.php7_.gif in erfahren haben Medien →  Bibliothek.

Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet

GESAMT
0
Anteile
Zurück Artikel

502 Bad Gateway / Cloudflare ausgefallen - HowTo Fix

Nächster Artikel

So deaktivieren Sie die Standardeinstellung "Versand an andere" address "von der Checkout-Seite von Woocommerce

GESAMT
0
Teilen