php.php_.php7_.gif - Malware WordPress (imagem X rosa na biblioteca de mídia)

Uma coisa estranha foi recentemente relatada para mim em vários sites com WordPress.

Dados do problema php.php_.php7_.gif

A aparência misteriosa de um Imagens gif com um "X" preto sobre um fundo rosa. Em todos os casos, o arquivo foi nomeado "php.php_.php7_.gif", Tendo as mesmas propriedades em todos os lugares. A parte interessante é que esse arquivo não foi enviado por um usuário / autor específico. "Enviado por: (sem autor)".

O nome do arquivo: php.php_.php7_.gif
Tipo de arquivo: image / gif
Carregado em: Julho 11, 2019
O tamanho do arquivo:
dimensões: 300 por 300 pixels
Título: php.php_.php7_
Carregado por: (sem autor)

Por padrão, esse arquivo .GIF parece ser um contém um script, é carregado no servidor em a pasta de uploads atual da cronologia. Nos casos dados: / Root / wp-content / uploads / 2019 / 07 /.
Outra coisa interessante é que arquivo php.php_.php7_.gif básica, que foi colocado no servidor não pode abrir um editor de fotos. Preview, Photoshop ou qualquer outro. Em vez disso miniaturas(ícones) feitos automaticamente pelo WordPress em vários tamanhos, estão funcionando perfeitamente .gifs e podem ser abertos. Um "X" preto em um fundo rosa.

O que é "php.php_.php7_.gif" e como podemos nos livrar desses arquivos suspeitos

Excluir esses arquivos provavelmente malwares / vírus, não é uma solução se nos limitarmos a isso. Claro que php.php_.php7_.gif não é um arquivo legítimo do WordPress ou criado por um plugin.
Em um servidor da Web, ele pode ser facilmente identificado se tivermos Linux Malware Detect instalado. O processo anti-vírus / anti-malware de "maldet"Imediatamente detectado como um tipo de vírus:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

É altamente recomendável ter um antivírus no servidor web e atualizá-lo para data. Além disso, o antivírus é definido para monitorar permanentemente as alterações nos arquivos da web.
A versão do WordPress e todos módulos (plugins) também serão atualizados. Até onde eu vi, todos os sites WordPress infectados com php.php_.php7_.gif tem como elemento de plugin comum "WP comentário". Plugin que acaba de receber uma atualização no changelog que encontramos: Corrigido problema de vulnerabilidade.

Para um dos sites afetados por esse malware, no error.log, a seguinte linha foi encontrada:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Isso me faz pensar que o upload de imagens falsas foi feito através deste plug-in. O erro primeiro surge de um erro de PORTA fastcgi.
Uma nota importante é que este malware / WordPress não leva em consideração a versão do PHP no servidor. Eu achei ambos PHP 5.6.40 eo PHP 7.1.30.

O artigo será atualizado conforme descobrirmos mais sobre o arquivo de malware php.php_.php7_.gif presente em SociaisBiblioteca.

php.php_.php7_.gif - Malware WordPress (imagem X rosa na biblioteca de mídia)

Sobre o autor

discrição

Apaixonado por tudo o que significa gadget e TI, tenho o prazer de escrever no stealthsettings.com da 2006 e adoro descobrir coisas novas sobre computadores e macOS, sistemas operacionais Linux, Windows, iOS e Android.

Deixe um comentário