php.php_.php7_.gif - WordPress Malware (Pink X-afbeelding in mediabibliotheek)

Een vreemd iets is onlangs op verschillende sites bij mij gemeld WordPress.

Probleemgegevens php.php_.php7_.gif

De mysterieuze verschijning van een .gif afbeeldingen met een zwarte "X" op een roze achtergrond. In alle gevallen heette het bestand "php.php_.php7_.gif", Overal dezelfde eigenschappen hebben. Het interessante is dat dit bestand niet is geüpload door een specifieke gebruiker / auteur. "Geupload door: (geen auteur)'.

File naam: php.php_.php7_.gif
File Type: image / gif
Geupload op: 11 juli 2019
File grootte:
Afmetingen: 300 op 300 pixels
Titel: php.php_.php7_
Geüpload door: (geen auteur)

By default, dit .GIF-bestand dat eruitziet als bevat een script, is geladen op de server in de map met huidige uploads uit de chronologie. In de gegeven gevallen: / Root / wp-content / uploads / 2019 / 07 /.
Een ander interessant ding is dat het basisbestand, php.php_.php7_.gif, dat naar de server is geüpload, niet kan worden geopend door een foto-editor. Voorvertoning, Photoshop of een ander. In plaats daarvan, thumbnailde (iconen) automatisch gemaakt door WordPress op verschillende dimensies, zijn perfect functionele .gifs en kunnen geopend worden. Een zwarte "X" op een roze achtergrond.

Wat is "php.php_.php7_.gif" en hoe kan ik deze verdachte bestanden verwijderen?

Verwijder deze bestanden hoogstwaarschijnlijk malware / virus, het is geen oplossing als we ons beperken tot alleen dat. Natuurlijk is php.php_.php7_.gif geen legitiem WordPress-bestand of gemaakt door een plug-in.
Op een webserver kan het gemakkelijk worden geïdentificeerd als we dat hebben Linux Malware Detect  geïnstalleerd. Het antivirus- / antimalwareproces van "maldet"Detecteerde het onmiddellijk als een virus van het type:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Het wordt sterk aanbevolen om er een te hebben antivirus op de webserver en update deze tot op heden. Bovendien is de antivirus ingesteld om wijzigingen in webbestanden permanent te bewaken.
De WordPress-versie en alle modules (plug-ins) worden ook bijgewerkt. Voor zover ik zag, zijn alle WordPress-sites geïnfecteerd met php.php_.php7_.gif hebben als gemeenschappelijk element de plug-in "WP beoordeling". Plug-in die onlangs een update heeft ontvangen in wiens changelog we vinden: Probleem met de kwetsbaarheid opgelost.

Voor een van de sites die door deze malware worden getroffen, in error.log heeft de volgende regel gevonden:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Het doet me denken dat het uploaden van valse afbeeldingen is gemaakt via deze plug-in. De fout komt voor het eerst voort uit een fastcgi PORT-fout.
Een belangrijke opmerking is dat deze malware / WordPress niet echt rekening houdt met de PHP-versie op de server. Ik vond het allebei PHP 5.6.40 en PHP 7.1.30.

Het artikel wordt bijgewerkt als we meer te weten komen over het php.php_.php7_.gif malwarebestand dat aanwezig is in Media →  Bibliotheek.

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Totaal (total)
0
Aandelen
Vorig artikel

502 Bad Gateway / Cloudflare Down - HowTo Fix

Volgende artikel

Hoe de standaard "Verzenden naar ander" uit te vinken address "van de afrekenpagina van Woocommerce