php.php_.php7_.gif - वर्डप्रेस मैलवेयर (मीडिया लाइब्रेरी में गुलाबी एक्स छवि)

हाल ही में कई साइटों पर मेरे साथ एक अजीब बात हुई वर्डप्रेस.

समस्या डेटा php.php_.php7_.gif

का रहस्यमयी रूप एक गुलाबी पृष्ठभूमि पर एक काले "एक्स" के साथ .gif छवियां। सभी मामलों में, फ़ाइल का नाम "php.php_.php7_.gif", हर जगह समान गुण होने। दिलचस्प बात यह है कि यह फ़ाइल किसी विशिष्ट उपयोगकर्ता / लेखक द्वारा अपलोड नहीं की गई है। "द्वारा अपलोड किया गया: (कोई लेखक नहीं)पर क्लिक करें।

फ़ाइल का नाम: php.php_.php7_.gif
फ़ाइल प्रकार: छवि / gif
पर अपलोड: जुलाई 11, 2019
फ़ाइल का आकार:
आयाम: 300 पिक्सेल द्वारा 300
शीर्षक: php.php_.php7_
द्वारा अपलोड किया गया: (कोई लेखक नहीं)

डिफ़ॉल्ट रूप से, यह .GIF फ़ाइल a प्रतीत होती है एक स्क्रिप्ट शामिल हैमें सर्वर पर लोड किया जाता है वर्तमान अपलोड फ़ोल्डर कालक्रम से। दिए गए मामलों में: / रूट / WP-content / अपलोड / 2019 / 07 /.
एक और दिलचस्प बात यह है कि आधार फ़ाइल, php.php_.php7_.gif, जिसे सर्वर पर अपलोड किया गया था, फोटो संपादक द्वारा नहीं खोला जा सकता है। पूर्वावलोकन, फ़ोटोशॉप या किसी अन्य। इसके बजाय, थंबनेल(प्रतीक) कई आकारों में वर्डप्रेस द्वारा स्वचालित रूप से बनाए गए, पूरी तरह से काम कर रहे हैं। गिफ्ट्स और खोले जा सकते हैं। गुलाबी पृष्ठभूमि पर एक "X" काला।

"Php.php_.php7_.gif" क्या है और हम इन संदिग्ध फ़ाइलों से कैसे छुटकारा पा सकते हैं

सबसे अधिक संभावना इन फ़ाइलों को हटा दें मैलवेयर / वाइरस, यह एक समाधान नहीं है अगर हम खुद को सिर्फ उस तक सीमित रखें। निश्चित php.php_.php7_.gif एक वैध वर्डप्रेस फ़ाइल नहीं है या एक प्लगइन द्वारा बनाई गई है।
एक वेब सर्वर पर इसे आसानी से पहचाना जा सकता है यदि हमारे पास है लिनक्स मालवेयर डिटेक्ट स्थापित। एंटी-वायरस / एंटी-मैलवेयर प्रक्रिया "maldet"तुरंत एक प्रकार के वायरस के रूप में इसका पता चला:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

यह एक के लिए अत्यधिक अनुशंसित है वेब सर्वर पर एंटीवायरस और इसे अद्यतन करने के लिए आज तक। इसके अतिरिक्त, एंटीवायरस वेब फ़ाइलों में परिवर्तनों को स्थायी रूप से मॉनिटर करने के लिए सेट किया गया है।
वर्डप्रेस संस्करण और सभी मॉड्यूल (प्लगइन्स) भी अपडेट किए जाएं। जहाँ तक मैंने देखा, सभी वर्डप्रेस साइट्स संक्रमित हैं php.php_.php7_.gif आम प्लगइन तत्व के रूप में "WP समीक्षा"। प्लगिन जो हमें मिले चैंज में अपडेट मिला: फिक्स्ड भेद्यता मुद्दा.

इस मैलवेयर से प्रभावित साइटों में से एक के लिए, error.log में, निम्न पंक्ति पाई गई थी:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

यह मुझे लगता है कि झूठी छवियों का अपलोड इस प्लग-इन के माध्यम से किया गया था। त्रुटि पहले fastcgi पोर्ट त्रुटि से उत्पन्न होती है।
एक महत्वपूर्ण नोट यह है कि यह मैलवेयर / वर्डप्रेस वास्तव में सर्वर पर PHP संस्करण को ध्यान में नहीं रखता है। मैंने इसे दोनों पाया PHP 5.6.40 और PHP 7.1.30.

जैसे ही हम php.php_.php7_.gif मालवेयर फ़ाइल में मौजूद हैं, लेख को अपडेट कर दिया जाएगा मीडियापुस्तकालय.

php.php_.php7_.gif - वर्डप्रेस मैलवेयर (मीडिया लाइब्रेरी में गुलाबी एक्स छवि)

लेखक के बारे में

छल

गैजेट और आईटी का मतलब है कि सब कुछ के बारे में भावुक, मैं 2006 से स्टील्थसेटिंग्स.कॉम पर खुशी के साथ लिखता हूं और मुझे आपके साथ कंप्यूटर और मैकओएस, लिनक्स ऑपरेटिंग सिस्टम, के बारे में नई चीजों की खोज करना पसंद है Windows, iOS और Android।

एक टिप्पणी छोड़ दो