php.php_.php7_.gif - WordPress Malware (Pink X Image in mediabibliotheek)

Een vreemd iets is onlangs op verschillende sites bij mij gemeld WordPress.

Probleemgegevens php.php_.php7_.gif

De mysterieuze verschijning van een .gif-afbeeldingen met een zwarte "X" op een roze achtergrond. In alle gevallen is het bestand "php.php_.php7_.gif", Dezelfde eigenschappen overal hebben. Het interessante is dat dit bestand niet is geüpload door een specifieke gebruiker / auteur. "Geupload door: (geen auteur)".

File name: php.php_.php7_.gif
Bestandstype: image / gif
Geupload op: Juli 11, 2019
Bestandsgrootte:
Afmetingen: 300 op 300 pixels
Titel: php.php_.php7_
Geüpload door: (geen auteur)

Standaard lijkt dit .GIF-bestand een bevat een script, is geladen op de server in de map met huidige uploads uit de chronologie. In de gegeven gevallen: / Root / wp-content / uploads / 2019 / 07 /.
Een ander interessant ding is dat het basisbestand, php.php_.php7_.gif, dat naar de server is geüpload, niet kan worden geopend door een foto-editor. Voorvertoning, Photoshop of een ander. In plaats daarvan, thumbnail(pictogrammen) automatisch gemaakt door WordPress op meerdere formaten, zijn perfect functionerende .gifs en kunnen worden geopend. Een "X" zwart op een roze achtergrond.

Wat is "php.php_.php7_.gif" en hoe kunnen we deze verdachte bestanden verwijderen

Verwijder deze bestanden hoogstwaarschijnlijk malware / virus, het is geen oplossing als we ons beperken tot alleen dat. Natuurlijk is php.php_.php7_.gif geen legitiem WordPress-bestand of gemaakt door een plug-in.
Op een webserver kan het gemakkelijk worden geïdentificeerd als we dat hebben Linux Malware Detect geïnstalleerd. Het anti-virus / anti-malware proces van "maldet"Direct gedetecteerd als een type virus:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Het wordt sterk aanbevolen om er een te hebben antivirus op de webserver en update deze tot op heden. Bovendien is de antivirus ingesteld om wijzigingen in webbestanden permanent te bewaken.
De WordPress-versie en alle modules (plug-ins) worden ook bijgewerkt. Voor zover ik zag, zijn alle WordPress-sites geïnfecteerd met php.php_.php7_.gif hebben als algemeen plug-in element "WP beoordeling". Plug-in die net een update heeft ontvangen in het changelog vinden we: Probleem met de kwetsbaarheid opgelost.

Voor een van de sites die door deze malware wordt getroffen, is in de error.log de volgende regel gevonden:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Het doet me denken dat het uploaden van valse afbeeldingen is gemaakt via deze plug-in. De fout komt voor het eerst voort uit een fastcgi PORT-fout.
Een belangrijke opmerking is dat deze malware / WordPress niet echt rekening houdt met de PHP-versie op de server. Ik vond het allebei PHP 5.6.40 en PHP 7.1.30.

Het artikel wordt bijgewerkt als we meer te weten komen over het php.php_.php7_.gif malwarebestand dat aanwezig is in MediaBibliotheek.

php.php_.php7_.gif - WordPress Malware (Pink X Image in mediabibliotheek)

Over de auteur

heimelijkheid

Gepassioneerd door alles wat gadgets en IT betekent, schrijf ik met plezier stealthsettings.com van 2006 en ik ontdek graag nieuwe dingen over computers en besturingssystemen macOS, Linux, Windows, iOS en Android.

Laat een bericht achter