Eine seltsame Sache wurde mir kürzlich auf mehreren Seiten mit gemeldet WordPress.
Problemdaten php.php_.php7_.gif
Das mysteriöse Aussehen eines .gif Bilder mit einem schwarzen "X" auf einem rosa Hintergrund. In allen Fällen wurde die Datei "php.php_.php7_.gif", Überall die gleichen Eigenschaften haben. Der interessante Teil ist, dass diese Datei nicht von einem bestimmten Benutzer / Autor hochgeladen wurde. ""Hochgeladen von: (kein Autor)".
Dateiname: php.php_.php7_.gif
Dateityp: image / gif
Hochgeladen am: 11. Juli 2019
Dateigröße:
Maße: 300 von 300 Pixel
Titel : php.php_.php7_
Hochgeladen von: (kein Autor)
By default, diese .GIF-Datei, die aussieht wie enthält ein Skriptwird auf dem Server in geladen den aktuellen Upload-Ordner aus der Chronologie. In den gegebenen Fällen: / Root / wp-content / uploads / 2019 / 07 /.
Eine weitere interessante Sache ist, dass Datei Grund php.php_.php7_.gif, der auf dem Server gesetzt wurde, kann nicht ein Foto-Editor öffnen. Vorschau, Photoshop oder andere. Stattdessen Daumennagel(Icons) automatisch erstellt von WordPress In mehreren Größen sind .gifs perfekt funktionsfähig und können geöffnet werden. Ein schwarzes "X" auf einem rosa Hintergrund.
Was ist "php.php_.php7_.gif" und wie werden diese verdächtigen Dateien entfernt?
Löschen Sie diese Dateien höchstwahrscheinlich Malware / Virus, ist keine Lösung, wenn wir uns nur darauf beschränken. Sicherlich ist php.php_.php7_.gif keine legitime Datei von WordPress oder durch ein Plugin erstellt.
Auf einem Webserver kann es leicht identifiziert werden, wenn wir haben Linux Malware-Erkennung Eingerichtet. Der Antiviren- / Anti-Malware-Prozess von „maldet"Es wurde sofort als Virus des Typs erkannt:"{} YARA php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Es wird dringend empfohlen, eine zu haben Antivirus auf dem Webserver und aktualisieren Sie es auf dem neuesten Stand. Darüber hinaus überwacht das Virenschutzprogramm permanent Änderungen an Webdateien.
Version von WordPress und all Module (Plugins) werden ebenfalls aktualisiert. Von dem, was ich gesehen habe, alle Seiten WordPress infiziert mit php.php_.php7_.gif habe als gemeinsames Element das Plugin "WP Bewertung". Plugin, das kürzlich ein Update erhalten hat, in dessen Änderungsprotokoll wir finden: Schwachstellenproblem behoben.
Für eine der von dieser Malware betroffenen Websites in error.log hat die folgende Zeile gefunden:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Ich habe den Eindruck, dass der Upload falscher Bilder über dieses Plug-In erfolgt ist. Der Fehler ergibt sich zunächst aus einem fastcgi-PORT-Fehler.
Eine wichtige Erwähnung ist, dass dieser Virus / WordPress Malware achtet nicht sehr auf die PHP-Version auf dem Server. Ich habe beides gefunden PHP 5.6.40 und PHP 7.1.30.
Der Artikel wird aktualisiert, sobald wir mehr über die Malware-Datei php.php_.php7_.gif in erfahren haben Medien → Bibliothek.
