php.php_.php7_.gif-WordPress Malware(メディアライブラリのピンクXイメージ)

奇妙なことが最近いくつかのサイトで私に報告されました。 WordPress.

問題データphp.php_.php7_.gif

の不思議な外観 ピンクの背景に黒の「X」が付いた.gif画像。 いずれの場合も、ファイルの名前は「php.php_.php7_.gif"、どこでも同じプロパティを持っています。 興味深いのは、このファイルが特定のユーザー/作成者によってアップロードされていないことです。 「」アップロードした人:(作者はいません)"

File 名前: php.php_.php7_.gif
File タイプ: 画像/ GIF
アップロード日: July 11, 2019
File サイズ:
外形寸法: 300ピクセルの300
役職:php.php_.php7_
アップロード者:(作者なし)

By default、この.GIFファイルは次のようになります スクリプトが含まれていますサーバーにロードされます。 現在のアップロードフォルダ 年表から。 与えられたケースでは: /ルート/ WP-コンテンツ/アップロード/ 2019 / 07 /.
もう1つ興味深いことは、サーバーにアップロードされたベースファイルphp.php_.php7_.gifがフォトエディタで開けないことです。 プレビュー、Photoshopなど 代わりに、 サムネイルWordPressによっていくつかの次元で自動的に作成された(アイコン)は、完全に機能する.gifであり、開くことができます。 ピンクの背景に黒い「X」。

「php.php_.php7_.gif」とは何ですか。これらの疑わしいファイルを削除するにはどうすればよいですか。

これらのファイルを削除する マルウェア / ウイルスそれだけに限っても、解決策にはなりません。 もちろん、php.php_.php7_.gifは正規のWordPressファイルでもなく、プラグインによって作成されたものでもありません。
Webサーバーでは、次のようにすれば簡単に識別できます。 Linuxマルウェア検出  インストールされています。 「の抗ウイルス/抗マルウェアプロセスmaldet「次のタイプのウイルスとしてすぐに検出されました:」{YARA} php_in_image 

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

それを持っていることを強くお勧めします Webサーバー上のウイルス対策ソフトウェアを最新の状態に更新します。。 さらに、アンチウイルスはWebファイルへの変更を恒久的に監視するように設定されています。
WordPressのバージョン とすべての モジュール(プラグイン)も更新されます。 私が見た限りでは、すべてのWordPressサイトは php.php_.php7_.gif 共通の要素としてプラグインを持っている "WPレビュー"。 変更ログで更新を最近受け取ったプラグイン: 修正された脆弱性の問題.

このマルウェアの影響を受けるサイトの1つについて、error.logで次の行が見つかりました。

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

偽の画像のアップロードは、このプラグインを介して行われたと思います。 このエラーはまずfastcgi PORTエラーから発生します。
重要な注意点は、このマルウェア/ WordPressはサーバー上のPHPバージョンを実際には考慮していないということです。 両方見つけた PHP 5.6.40 と PHP 7.1.30.

にあるphp.php_.php7_.gifマルウェアファイルの詳細については、記事が更新される予定です。 メディア →  図書館.

php.php_.php7_.gif-WordPress Malware(メディアライブラリのピンクXイメージ)

著者について

ステルス

ガジェットとITのすべてに情熱を注いで、ステルスで喜んで書いていますsettings2006年以来.comと私はあなたと一緒にコンピュータとオペレーティングシステムについての新しいことを発見したいですmacOS、Linux、 Windows、iOSおよびAndroid。

コメント