Een vreemd iets is onlangs op verschillende sites bij mij gemeld WordPress.
Probleemgegevens php.php_.php7_.gif
De mysterieuze verschijning van een .gif afbeeldingen met een zwarte "X" op een roze achtergrond. In alle gevallen heette het bestand "php.php_.php7_.gif", Overal dezelfde eigenschappen hebben. Het interessante is dat dit bestand niet is geüpload door een specifieke gebruiker / auteur. "Geupload door: (geen auteur)'.
File name: php.php_.php7_.gif
Bestandstype: image / gif
Geupload op: 11 juli 2019
Bestandsgrootte:
Afmetingen: 300 op 300 pixels
Titel: php.php_.php7_
Geüpload door: (geen auteur)
By default, dit .GIF-bestand dat eruitziet als bevat een script, is geladen op de server in de map met huidige uploads uit de chronologie. In de gegeven gevallen: / Root / wp-content / uploads / 2019 / 07 /.
Een ander interessant ding is dat het basisbestand, php.php_.php7_.gif, dat naar de server is geüpload, niet kan worden geopend door een foto-editor. Voorvertoning, Photoshop of een ander. In plaats daarvan, thumbnail(pictogrammen) automatisch gemaakt door WordPress op verschillende formaten zijn .gifs perfect functioneel en kunnen ze worden geopend. Een zwarte "X" op een roze achtergrond.
Wat is "php.php_.php7_.gif" en hoe kan ik deze verdachte bestanden verwijderen?
Verwijder deze bestanden hoogstwaarschijnlijk malware / virus, is geen oplossing als we ons daartoe beperken. php.php_.php7_.gif is zeker geen legitiem bestand van WordPress of gemaakt door een plug-in.
Op een webserver kan het gemakkelijk worden geïdentificeerd als we dat hebben Linux Malware detecteren geïnstalleerd. Het antivirus- / antimalwareproces van "maldet"Detecteerde het onmiddellijk als een virus van het type:"{YARA} php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Het wordt sterk aanbevolen om er een te hebben antivirus op de webserver en update deze tot op heden. Bovendien is de antivirus ingesteld om wijzigingen in webbestanden permanent te bewaken.
Versie van WordPress en alle modules (plug-ins) worden ook bijgewerkt. Van wat ik heb gezien, alle sites WordPress geïnfecteerd met php.php_.php7_.gif hebben als gemeenschappelijk element de plug-in "WP beoordeling". Plug-in die onlangs een update heeft ontvangen in wiens changelog we vinden: Probleem met de kwetsbaarheid opgelost.
Voor een van de sites die door deze malware worden getroffen, in error.log heeft de volgende regel gevonden:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Het doet me denken dat het uploaden van valse afbeeldingen is gemaakt via deze plug-in. De fout komt voor het eerst voort uit een fastcgi PORT-fout.
Een belangrijke vermelding is dat dit virus / WordPress malware besteedt niet veel aandacht aan de PHP-versie op de server. ik heb beide gevonden PHP 5.6.40 en PHP 7.1.30.
Het artikel wordt bijgewerkt als we meer te weten komen over het php.php_.php7_.gif malwarebestand dat aanwezig is in Media → Bibliotheek.