हाल ही में कई साइटों पर मेरे साथ एक अजीब बात हुई WordPress.
समस्या डेटा php.php_.php7_.gif
का रहस्यमयी रूप .gif चित्र गुलाबी पृष्ठभूमि पर काले "X" के साथ। सभी मामलों में, फ़ाइल का नाम "php.php_.php7_.gif", हर जगह समान गुण होने। दिलचस्प बात यह है कि यह फ़ाइल किसी विशिष्ट उपयोगकर्ता / लेखक द्वारा अपलोड नहीं की गई है। "द्वारा अपलोड किया गया: (कोई लेखक नहीं)".
फ़ाइल का नाम: php.php_.php7_.gif
फ़ाइल प्रकार: छवि / gif
पर अपलोड: जुलाई 11, 2019
फ़ाइल का आकार:
आयाम: 300 पिक्सेल द्वारा 300
शीर्षक: php.php_.php7_
द्वारा अपलोड किया गया: (कोई लेखक नहीं)
By default, यह .GIF फ़ाइल जैसा दिखता है एक स्क्रिप्ट शामिल हैमें सर्वर पर लोड किया जाता है वर्तमान अपलोड फ़ोल्डर कालक्रम से। दिए गए मामलों में: / रूट / WP-content / अपलोड / 2019 / 07 /.
एक और दिलचस्प बात यह है कि आधार फ़ाइल, php.php_.php7_.gif, जिसे सर्वर पर अपलोड किया गया था, फोटो संपादक द्वारा नहीं खोला जा सकता है। पूर्वावलोकन, फ़ोटोशॉप या किसी अन्य। इसके बजाय, थंबनेल(आइकन) द्वारा स्वचालित रूप से बनाया गया WordPress कई आकारों पर, .gifs पूरी तरह कार्यात्मक हैं और इन्हें खोला जा सकता है। गुलाबी पृष्ठभूमि पर काला "X"।
"Php.php_.php7_.gif" क्या है और हम इन संदिग्ध फ़ाइलों से कैसे छुटकारा पा सकते हैं?
सबसे अधिक संभावना इन फ़ाइलों को हटा दें मैलवेयर / वाइरसयदि हम अपने आप को केवल उसी तक सीमित रखते हैं तो यह कोई समाधान नहीं है। निश्चित रूप से php.php_.php7_.gif की वैध फ़ाइल नहीं है WordPress या एक प्लगइन द्वारा बनाया गया।
एक वेब सर्वर पर इसे आसानी से पहचाना जा सकता है यदि हमारे पास है Linux मैलवेयर का पता लगाएं स्थापित। एंटी-वायरस / एंटी-मैलवेयर प्रक्रिया "maldet"तुरंत इसे टाइप के वायरस के रूप में पाया गया:"{} YARA php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
यह एक के लिए अत्यधिक अनुशंसित है वेब सर्वर पर एंटीवायरस और इसे अद्यतन करने के लिए आज तक। इसके अतिरिक्त, एंटीवायरस वेब फ़ाइलों में परिवर्तनों को स्थायी रूप से मॉनिटर करने के लिए सेट किया गया है।
का संस्करण WordPress और सभी मॉड्यूल (प्लगइन्स) भी अपडेट किए जाएं. मैंने जो देखा है, सभी साइटों से WordPress इससे संक्रमित php.php_.php7_.gif एक सामान्य तत्व के रूप में प्लगइन है "WP समीक्षा"। प्लगइन्स जिसे हाल ही में एक अद्यतन प्राप्त हुआ है जिसका चैंज हम पाते हैं: फिक्स्ड भेद्यता मुद्दा.
इस मैलवेयर से प्रभावित साइटों में से एक के लिए, में error.log को निम्न पंक्ति मिली:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
यह मुझे लगता है कि झूठी छवियों का अपलोड इस प्लग-इन के माध्यम से किया गया था। त्रुटि पहले fastcgi पोर्ट त्रुटि से उत्पन्न होती है।
एक महत्वपूर्ण उल्लेख यह है कि यह वायरस / WordPress मैलवेयर सर्वर पर PHP संस्करण पर ज्यादा ध्यान नहीं देता है। मैंने दोनों को पाया PHP 5.6.40 और PHP 7.1.30.
जैसे ही हम php.php_.php7_.gif मालवेयर फ़ाइल में मौजूद हैं, लेख को अपडेट कर दिया जाएगा मीडिया → पुस्तकालय.
