php.php_.php7_.gif - البرامج الضارة لـ WordPress (صورة X وردية في مكتبة الوسائط)

تم الإبلاغ عن شيء غريب مؤخرًا على عدة مواقع   خدمات ووردبريس.

مشكلة البيانات php.php_.php7_.gif

مظهر غامض من .gif ذات علامة "X" سوداء على خلفية وردية. في جميع الحالات ، تم تسمية الملف "php.php_.php7_.gif"، لها نفس الخصائص في كل مكان. الجزء المثير للاهتمام هو أن هذا الملف لم يتم تحميله من قبل مستخدم / مؤلف معين. "تم الرفع بواسطة: (بدون مؤلف)".

File الاسم: php.php_.php7_.gif
File اكتب: صورة / gif
تم الرفع على: يوليو 11، 2019
File حجم:
الأبعاد: 300 by 300 pixels
العطر: php.php_.php7_
تم الرفع بواسطة: (بدون مؤلف)

By default، ملف .GIF هذا الذي يشبه يحتوي على البرنامج النصي، يتم تحميلها على الخادم في مجلد التحميلات الحالي من التسلسل الزمني. في الحالات المعينة: / الجذر / الفسفور الابيض بين المحتوى / الإضافات / 2019 / 07 /.
شيء آخر مثير للاهتمام هو أن الملف الأساسي ، php.php_.php7_.gif ، الذي تم تحميله على الخادم ، لا يمكن فتحه بواسطة محرر صور. معاينة ، فوتوشوب أو أي شيء آخر. بدلا من ذلك، صورة مصغرة(الرموز) التي تم إنشاؤها تلقائيًا بواسطة WordPress على عدة أبعاد ، تعمل بشكل مثالي .gifs ويمكن فتحها. علامة "X" سوداء على خلفية وردية اللون.

ما هو "php.php_.php7_.gif" وكيف يمكننا التخلص من هذه الملفات المشبوهة؟

احذف هذه الملفات على الأرجح البرمجيات الخبيثة / الفيروسات، إنه ليس حلاً إذا قصرنا على ذلك. تأكد من أن php.php_.php7_.gif ليس ملف WordPress شرعي أو تم إنشاؤه بواسطة مكون إضافي.
على خادم الويب يمكن التعرف عليه بسهولة إذا كان لدينا كشف البرامج الضارة لنظام Linux  المثبتة. عملية مكافحة الفيروسات / مكافحة البرامج الضارة لـ "maldet"تم الكشف عنه فورًا على أنه فيروس من النوع:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

ينصح بشدة أن يكون واحد مكافحة الفيروسات على خادم الويب وتحديثه حتى الآن. بالإضافة إلى ذلك ، يتم تعيين مكافحة الفيروسات لمراقبة التغييرات على ملفات الويب بشكل دائم.
نسخة ووردبريس وجميع وحدات (الإضافات) أيضا أن يتم تحديث. بقدر ما رأيت ، وجميع المواقع وورد المصابين php.php_.php7_.gif كعنصر مشترك هو المكون الإضافي "WP مراجعة". المكون الإضافي الذي تلقى مؤخرًا تحديثًا في سجل التغيير الخاص به: مشكلة الثغرة الثابتة.

بالنسبة إلى أحد المواقع المتأثرة بهذا البرنامج الضار ، في error.log ، تم العثور على السطر التالي:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

يجعلني أعتقد أن تحميل الصور الخاطئة تم من خلال هذا المكون الإضافي. الخطأ أولاً ينشأ من خطأ PORT fastcgi.
ملاحظة مهمة هي أن هذا البرنامج الضار / ووردبريس لا يأخذ حقًا في الاعتبار إصدار PHP على الخادم. لقد وجدت على حد سواء PHP 5.6.40 وعلى PHP 7.1.30.

سيتم تحديث المقالة عند معرفة المزيد حول ملف البرامج الضارة php.php_.php7_.gif الموجود في وسائط →  المكتبة.

php.php_.php7_.gif - البرامج الضارة لـ WordPress (صورة X وردية في مكتبة الوسائط)

عن المؤلف

تسلل

شغوف بكل شيء عن الأدوات الذكية وتكنولوجيا المعلومات ، أكتب بسرور على التخفيsettingsمنذ عام 2006 وأود أن أكتشف معك أشياء جديدة حول أجهزة الكمبيوتر وأنظمة التشغيل macOS و Linux و Windowsو iOS و Android.

اترك تعليق