Uma coisa estranha foi recentemente relatada para mim em vários sites com WordPress.
Dados do problema php.php_.php7_.gif
A aparência misteriosa de um Imagens .gif com um "X" preto em um fundo rosa. Em todos os casos, o arquivo foi denominado "php.php_.php7_.gif", Ter as mesmas propriedades em todos os lugares. A parte interessante é que este arquivo não foi carregado por um usuário / autor específico. "Enviado por: (sem autor)".
O nome do arquivo: php.php_.php7_.gif
Tipo de arquivo: image / gif
Carregado em: 11 de julho de 2019
O tamanho do arquivo:
Dimensões: 300 por 300 pixels
Título: php.php_.php7_
Carregado por: (sem autor)
By default, este arquivo .GIF que se parece com contém um script, é carregado no servidor em a pasta de uploads atual da cronologia. Nos casos dados: / Root / wp-content / uploads / 2019 / 07 /.
Outra coisa interessante é que arquivo php.php_.php7_.gif básica, que foi colocado no servidor não pode abrir um editor de fotos. Preview, Photoshop ou qualquer outro. Em vez disso miniaturas(ícones) feitos automaticamente por WordPress em vários tamanhos, .gifs são perfeitamente funcionais e podem ser abertos. Um "X" preto em um fundo rosa.
O que é "php.php_.php7_.gif" e como se livrar desses arquivos suspeitos?
Excluir esses arquivos provavelmente malwares / vírus, não é uma solução se nos limitarmos apenas a isso. Certamente php.php_.php7_.gif não é um arquivo legítimo de WordPress ou criado por um plugin.
Em um servidor da Web, ele pode ser facilmente identificado se tivermos Linux Detecção de malware instalado. O processo antivírus / antimalware de “maldet"Detectado imediatamente como um vírus:"{YARA} php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
É altamente recomendável ter um antivírus no servidor web e atualizá-lo para data. Além disso, o antivírus é definido para monitorar permanentemente as alterações nos arquivos da web.
Versão de WordPress e todos módulos (plugins) também serão atualizados. Pelo que eu vi, todos os sites WordPress infectado com php.php_.php7_.gif tem como elemento comum o plugin "WP comentário" Plugin que recentemente recebeu uma atualização em cujo changelog encontramos: Corrigido problema de vulnerabilidade.
Para um dos sites afetados por este malware, em error.log encontrou a seguinte linha:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Isso me faz pensar que o upload de imagens falsas foi feito através deste plug-in. O erro primeiro surge de um erro de PORTA fastcgi.
Uma menção importante é que este vírus / WordPress malware não presta muita atenção à versão do PHP no servidor. eu encontrei os dois PHP 5.6.40 eo PHP 7.1.30.
O artigo será atualizado conforme descobrirmos mais sobre o arquivo de malware php.php_.php7_.gif presente em Mídia → Biblioteca.
