تم الإبلاغ عن شيء غريب مؤخرًا على عدة مواقع WordPress.
مشكلة البيانات php.php_.php7_.gif
مظهر غامض من .gif ذات علامة "X" سوداء على خلفية وردية. في جميع الحالات ، تم تسمية الملف "php.php_.php7_.gif"، لها نفس الخصائص في كل مكان. الجزء المثير للاهتمام هو أن هذا الملف لم يتم تحميله من قبل مستخدم / مؤلف معين. "تم الرفع بواسطة: (بدون مؤلف)".
اسم الملف: php.php_.php7_.gif
نوع الملف: صورة / gif
تم الرفع على: 11 يوليو، 2019
حجم الملف:
الأبعاد: 300 by 300 pixels
العنوان: php.php_.php7_
تم الرفع بواسطة: (بدون مؤلف)
افتراضيًا، يبدو ملف .GIF هذا كملف يحتوي على البرنامج النصي، يتم تحميلها على الخادم في مجلد التحميلات الحالي من التسلسل الزمني. في الحالات المعينة: / الجذر / الفسفور الابيض بين المحتوى / الإضافات / 2019 / 07 /.
شيء آخر مثير للاهتمام هو أن الملف الأساسي ، php.php_.php7_.gif ، الذي تم تحميله على الخادم ، لا يمكن فتحه بواسطة محرر صور. معاينة ، فوتوشوب أو أي شيء آخر. بدلا من ذلك، صورة مصغرة(أيقونات) تم إجراؤها تلقائيًا بواسطة WordPress على عدة أحجام ، فإن .gifs تعمل بشكل مثالي ويمكن فتحها. علامة "X" سوداء على خلفية وردية اللون.
ما هو "php.php_.php7_.gif" وكيف يمكننا التخلص من هذه الملفات المشبوهة؟
احذف هذه الملفات على الأرجح البرمجيات الخبيثة / الفيروسات، ليس حلاً إذا قصرنا أنفسنا على ذلك فقط. بالتأكيد php.php_.php7_.gif ليس ملفًا شرعيًا من ملفات WordPress أو تم إنشاؤه بواسطة مكون إضافي.
على خادم الويب يمكن التعرف عليه بسهولة إذا كان لدينا Linux كشف البرامج الضارة المثبتة. عملية مكافحة الفيروسات / مكافحة البرامج الضارة لـ "maldet"تم الكشف عنه فورًا على أنه فيروس من النوع:"{} YARA php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
ينصح بشدة أن يكون واحد مكافحة الفيروسات على خادم الويب وتحديثه حتى الآن. بالإضافة إلى ذلك ، يتم تعيين مكافحة الفيروسات لمراقبة التغييرات على ملفات الويب بشكل دائم.
إصدار WordPress وجميع وحدات (الإضافات) أيضا أن يتم تحديث. مما رأيته كل المواقع WordPress الإصابة بـ php.php_.php7_.gif كعنصر مشترك هو المكون الإضافي "WP مراجعة". المكون الإضافي الذي تلقى مؤخرًا تحديثًا في سجل التغيير الخاص به: مشكلة الثغرة الثابتة.
بالنسبة إلى أحد المواقع المتأثرة بهذا البرنامج الضار ، في errorعثر .log على السطر التالي:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
يجعلني أعتقد أن تحميل الصور الخاطئة تم من خلال هذا المكون الإضافي. الخطأ أولاً ينشأ من خطأ PORT fastcgi.
يذكر أن هذا الفيروس / WordPress لا تولي البرامج الضارة اهتمامًا كبيرًا لإصدار PHP على الخادم. لقد وجدت كلاهما PHP 5.6.40 وعلى PHP 7.1.30.
سيتم تحديث المقالة عند معرفة المزيد حول ملف البرامج الضارة php.php_.php7_.gif الموجود في الصور → المكتبة.