php.php_.php7_.gif - WordPress-Malware (Pinkes X-Bild in der Medienbibliothek)

Eine seltsame Sache wurde mir kürzlich auf mehreren Seiten mit gemeldet WordPress.

Problemdaten php.php_.php7_.gif

Das mysteriöse Aussehen eines GIF-Bilder mit einem schwarzen "X" auf einem rosa Hintergrund. In allen Fällen wurde die Datei "php.php_.php7_.gif", Überall die gleichen Eigenschaften haben. Der interessante Teil ist, dass diese Datei nicht von einem bestimmten Benutzer / Autor hochgeladen wurde. "Hochgeladen von: (kein Autor)".

Dateiname: php.php_.php7_.gif
Dateityp: image / gif
Hochgeladen am: Juli 11, 2019
Dateigröße:
Abmessungen: 300 von 300 Pixel
Anrede: php.php_.php7_
Hochgeladen von: (kein Autor)

Standardmäßig ist diese GIF-Datei eine enthält ein Skriptwird auf dem Server in geladen den aktuellen Upload-Ordner aus der Chronologie. In den gegebenen Fällen: / Root / wp-content / uploads / 2019 / 07 /.
Eine weitere interessante Sache ist, dass Datei Grund php.php_.php7_.gif, der auf dem Server gesetzt wurde, kann nicht ein Foto-Editor öffnen. Vorschau, Photoshop oder andere. Stattdessen Daumennagel(Icons), die von WordPress automatisch in mehreren Größen erstellt werden, funktionieren perfekt als .gifs und können geöffnet werden. Ein "X" schwarz auf einem rosa Hintergrund.

Was ist "php.php_.php7_.gif" und wie können wir diese verdächtigen Dateien entfernen?

Löschen Sie diese Dateien höchstwahrscheinlich Malware / VirusEs ist keine Lösung, wenn wir uns auf genau das beschränken. Sicher, php.php_.php7_.gif ist keine legitime WordPress-Datei oder wird von einem Plugin erstellt.
Auf einem Webserver kann es leicht identifiziert werden, wenn wir haben Linux Malware Detect installiert. Der Anti-Virus / Anti-Malware-Prozess von "maldetEs wurde sofort als Typ-Virus erkannt:{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Es wird dringend empfohlen, eine zu haben Antivirus auf dem Webserver und aktualisieren Sie es auf dem neuesten Stand. Darüber hinaus überwacht das Virenschutzprogramm permanent Änderungen an Webdateien.
Die WordPress-Version und all Module (Plugins) werden ebenfalls aktualisiert. Soweit ich gesehen habe, sind alle WordPress-Seiten mit infiziert php.php_.php7_.gif als gemeinsames Plugin-Element haben "WP Bewertung“. Plugin, das gerade ein Update im Changelog erhalten hat: Schwachstellenproblem behoben.

Für eine der von dieser Malware betroffenen Websites wurde im error.log die folgende Zeile gefunden:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Ich habe den Eindruck, dass der Upload falscher Bilder über dieses Plug-In erfolgt ist. Der Fehler ergibt sich zunächst aus einem fastcgi-PORT-Fehler.
Ein wichtiger Hinweis ist, dass diese Malware / WordPress die PHP-Version auf dem Server nicht wirklich berücksichtigt. Ich habe beides gefunden PHP 5.6.40 und PHP 7.1.30.

Der Artikel wird aktualisiert, sobald wir mehr über die Malware-Datei php.php_.php7_.gif in erfahren haben MedienBibliothek.

php.php_.php7_.gif - WordPress-Malware (Pinkes X-Bild in der Medienbibliothek)

Über den Autor

Stealth

Leidenschaft für alles, was Gadget und IT gerne stealthsettings.com von 2006 schreiben und Ich mag neue Dinge zu entdecken, mit Ihnen über Computer und MacOS, Linux, Windows, iOS und Android.

3 Kommentare

  • Ich habe gerade Ihren Beitrag durchgesehen, um eine CVE-Offenlegung von WP Review für diese Sicherheitsanfälligkeit zu erhalten. Ich habe herausgefunden, wo sie das Problem behoben haben, und habe dort einen Kommentar hinterlassen, in dem sie gebeten werden, einen CVE / öffentlichen Beitrag zu verfassen https://github.com/MyThemeShopTeam/WP-Review/commit/1eff057e8c8c77cd792898a35d3c1def6bfb5642

    kurz gesagt, in 5.2.2 gezogen Option „Upload Kommentar Bild mit Ajax“, die in früheren Versionen von nicht authentifizierten Benutzern missbraucht werden könnte,

    • Danke für deinen Kommentar, Andrei!
      Ich dachte, es ist das Problem, nachdem die Protokolle sehen „? Action = laden WPR-Kommentar-Bild“ und aktualisieren Sie das Plugin zur Verfügung.
      Es ist jedoch eine gute Sache, dass in meinem Fall nichts auf den Servern getan werden konnte.

  • Ich habe auch diese Bilddatei php.php_.php7_.gif in WordPress, was soll ich jetzt tun? Ich muss es in Galerry WordPress löschen, zögern Sie nicht ...

Hinterlasse einen Kommentar