奇妙なことが最近いくつかのサイトで私に報告されました。 WordPress.
問題データphp.php_.php7_.gif
の不思議な外観 ピンクの背景に黒の「X」が付いた.gif画像。 いずれの場合も、ファイルの名前は「php.php_.php7_.gif"、どこでも同じプロパティを持っています。 興味深いのは、このファイルが特定のユーザー/作成者によってアップロードされていないことです。 「」アップロードした人:(作者はいません)"
ファイル名: php.php_.php7_.gif
ファイルタイプ: 画像/ GIF
アップロード日: 2022年7月11日
ファイルサイズ:
外形寸法: 300ピクセルの300
役職:php.php_.php7_
アップロード者:(作者なし)
By default、この.GIFファイルは次のようになります スクリプトが含まれていますサーバーにロードされます。 現在のアップロードフォルダ 年表から。 与えられたケースでは: /ルート/ WP-コンテンツ/アップロード/ 2019 / 07 /.
もう1つ興味深いことは、サーバーにアップロードされたベースファイルphp.php_.php7_.gifがフォトエディタで開けないことです。 プレビュー、Photoshopなど 代わりに、 サムネイル(アイコン)によって自動的に作成 WordPress いくつかのサイズでは、.gifは完全に機能し、開くことができます。 ピンクの背景に黒の「X」。
「php.php_.php7_.gif」とは何ですか。これらの疑わしいファイルを削除するにはどうすればよいですか。
これらのファイルを削除する マルウェア / ウイルス、それだけに限定した場合、解決策ではありません。 確かにphp.php_.php7_.gifはの正当なファイルではありません WordPress またはプラグインによって作成されます。
Webサーバーでは、次のようにすれば簡単に識別できます。 Linux マルウェア検出 インストールされています。 「の抗ウイルス/抗マルウェアプロセスmaldet「次のタイプのウイルスとしてすぐに検出されました:」{YARA} php_in_image「
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
それを持っていることを強くお勧めします Webサーバー上のウイルス対策ソフトウェアを最新の状態に更新します。。 さらに、アンチウイルスはWebファイルへの変更を恒久的に監視するように設定されています。
のバージョン WordPress とすべての モジュール(プラグイン)も更新されます。 私が見たものから、すべてのサイト WordPress 感染した php.php_.php7_.gif 共通の要素としてプラグインを持っている "WPレビュー"。 変更ログで更新を最近受け取ったプラグイン: 修正された脆弱性の問題.
このマルウェアの影響を受けるサイトのXNUMXつについては、 error.logは次の行を見つけました:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
偽の画像のアップロードは、このプラグインを介して行われたと思います。 このエラーはまずfastcgi PORTエラーから発生します。
重要な言及は、このウイルス/ WordPress マルウェアはサーバー上のPHPバージョンにあまり注意を払いません。 私は両方を見つけました PHP 5.6.40 と PHP 7.1.30.
にあるphp.php_.php7_.gifマルウェアファイルの詳細については、記事が更新される予定です。 メディア → 図書館.