php.php_.php7_.gif - Malware WordPress (imagem Pink X na biblioteca de mídia)

Uma coisa estranha foi recentemente relatada para mim em vários sites com WordPress.

Dados do problema php.php_.php7_.gif

A aparência misteriosa de um Imagens .gif com um "X" preto em um fundo rosa. Em todos os casos, o arquivo foi denominado "php.php_.php7_.gif", Ter as mesmas propriedades em todos os lugares. A parte interessante é que este arquivo não foi carregado por um usuário / autor específico. "Enviado por: (sem autor)".

File nome: php.php_.php7_.gif
File Tipo: image / gif
Carregado em: 11 Julho 2019
File tamanho:
dimensões: 300 por 300 pixels
Título: php.php_.php7_
Carregado por: (sem autor)

By default, este arquivo .GIF que se parece com contém um script, é carregado no servidor em a pasta de uploads atual da cronologia. Nos casos dados: / Root / wp-content / uploads / 2019 / 07 /.
Outra coisa interessante é que arquivo php.php_.php7_.gif básica, que foi colocado no servidor não pode abrir um editor de fotos. Preview, Photoshop ou qualquer outro. Em vez disso miniaturasos (ícones) feitos automaticamente pelo WordPress em várias dimensões, são .gifs perfeitamente funcionais e podem ser abertos. Um "X" preto em um fundo rosa.

O que é "php.php_.php7_.gif" e como se livrar desses arquivos suspeitos?

Excluir esses arquivos provavelmente malwares / vírus, não é uma solução se nos limitarmos a isso. Claro que php.php_.php7_.gif não é um arquivo legítimo do WordPress ou criado por um plugin.
Em um servidor da Web, ele pode ser facilmente identificado se tivermos Linux Malware Detect  instalado. O processo antivírus / antimalware de “maldet"Detectado imediatamente como um vírus:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

É altamente recomendável ter um antivírus no servidor web e atualizá-lo para data. Além disso, o antivírus é definido para monitorar permanentemente as alterações nos arquivos da web.
A versão do WordPress e todos módulos (plugins) também serão atualizados. Até onde eu vi, todos os sites WordPress infectados com php.php_.php7_.gif tem como elemento comum o plugin "WP comentário" Plugin que recentemente recebeu uma atualização em cujo changelog encontramos: Corrigido problema de vulnerabilidade.

Para um dos sites afetados por este malware, em error.log encontrou a seguinte linha:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Isso me faz pensar que o upload de imagens falsas foi feito através deste plug-in. O erro primeiro surge de um erro de PORTA fastcgi.
Uma nota importante é que este malware / WordPress não leva em consideração a versão do PHP no servidor. Eu achei ambos PHP 5.6.40 eo PHP 7.1.30.

O artigo será atualizado conforme descobrirmos mais sobre o arquivo de malware php.php_.php7_.gif presente em Sociais →  Biblioteca.

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

Total
0
ações
Artigo Anterior

502 Bad Gateway / Cloudflare Down - HowTo Fix

Próximo Artigo

Como desmarcar o padrão "Enviar para diferente address "na página de checkout do Woocommerce