php.php_.php7_.gif - البرامج الضارة لبرنامج WordPress (صورة وردية X في مكتبة الوسائط)

تم الإبلاغ عن شيء غريب مؤخرًا على عدة مواقع وورد.

مشكلة البيانات php.php_.php7_.gif

مظهر غامض من .gif الصور ذات "X" سوداء على خلفية وردية. في جميع الحالات ، تم تسمية الملف "php.php_.php7_.gif"، وجود نفس الخصائص في كل مكان. الجزء المثير للاهتمام هو أن هذا الملف لم يتم تحميله من قبل مستخدم / مؤلف معين. "تم الرفع بواسطة: (بدون مؤلف)".

اسم الملف: php.php_.php7_.gif
نوع الملف: صورة / gif
تم الرفع على: يوليو 11، 2019
حجم الملف:
الأبعاد: 300 by 300 pixels
عنوان: php.php_.php7_
تم الرفع بواسطة: (بدون مؤلف)

بشكل افتراضي ، يبدو ملف .GIF هذا يحتوي على البرنامج النصي، يتم تحميلها على الخادم في مجلد التحميلات الحالي من التسلسل الزمني. في الحالات المعينة: / الجذر / الفسفور الابيض بين المحتوى / الإضافات / 2019 / 07 /.
شيء آخر مثير للاهتمام هو أن الملف الأساسي ، php.php_.php7_.gif ، الذي تم تحميله على الخادم ، لا يمكن فتحه بواسطة محرر صور. معاينة ، فوتوشوب أو أي شيء آخر. بدلا من ذلك، صورة مصغرة(أيقونات) يتم إنشاؤها تلقائيًا بواسطة WordPress بأحجام متعددة ، وتعمل بشكل جيد. صور متحركة ويمكن فتحها. أسود "X" على خلفية وردية.

ما هو "php.php_.php7_.gif" وكيف يمكننا التخلص من هذه الملفات المشبوهة

احذف هذه الملفات على الأرجح البرمجيات الخبيثة / الفيروسات، إنه ليس حلاً إذا قصرنا على ذلك. تأكد من أن php.php_.php7_.gif ليس ملف WordPress شرعي أو تم إنشاؤه بواسطة مكون إضافي.
على خادم الويب يمكن التعرف عليه بسهولة إذا كان لدينا كشف البرامج الضارة لنظام Linux تثبيت. عملية مكافحة الفيروسات / مكافحة البرامج الضارة "maldet"اكتشف على الفور أنه فيروس نوع:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

ينصح بشدة أن يكون واحد مكافحة الفيروسات على خادم الويب وتحديثه حتى الآن. بالإضافة إلى ذلك ، يتم تعيين مكافحة الفيروسات لمراقبة التغييرات على ملفات الويب بشكل دائم.
نسخة ووردبريس وجميع وحدات (الإضافات) أيضا أن يتم تحديث. بقدر ما رأيت ، وجميع المواقع وورد المصابين php.php_.php7_.gif لدينا كعنصر المساعد المشترك "WP مراجعة". البرنامج المساعد الذي تلقى للتو تحديثًا في سجل التغيير الذي نجده: مشكلة الثغرة الثابتة.

بالنسبة إلى أحد المواقع المتأثرة بهذا البرنامج الضار ، في error.log ، تم العثور على السطر التالي:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

يجعلني أعتقد أن تحميل الصور الخاطئة تم من خلال هذا المكون الإضافي. الخطأ أولاً ينشأ من خطأ PORT fastcgi.
ملاحظة مهمة هي أن هذا البرنامج الضار / ووردبريس لا يأخذ حقًا في الاعتبار إصدار PHP على الخادم. لقد وجدت على حد سواء PHP 5.6.40 وعلى PHP 7.1.30.

سيتم تحديث المقالة عند معرفة المزيد حول ملف البرامج الضارة php.php_.php7_.gif الموجود في الإعلامالمكتبة.

php.php_.php7_.gif - البرامج الضارة لبرنامج WordPress (صورة وردية X في مكتبة الوسائط)

عن المؤلف

تسلل

شغوفًا بكل ما يعنيه الأداة وتكنولوجيا المعلومات ، يسرني أن أكتب على stealthsettings.com من 2006 وأحب اكتشاف أشياء جديدة حول أجهزة الكمبيوتر وأجهزة MacOS وأنظمة تشغيل Linux ، Windowsو iOS و Android.

اترك تعليق