Nedávno mi byla na několika stránkách s WordPress.

Problémová data php.php_.php7_.gif

Tajemný vzhled a obrázky .gif s a “X” černá na růžovém pozadí. Ve všech případech měl soubor jméno “php.php_.php7_.gif“, které mají všude stejné vlastnosti. Zajímavostí je, že tento soubor nebyl nahrán konkrétním uživatelem / autorem. “Nahrál: (žádný autor)“.

Název souboru: php.php_.php7_.gif
Typ souboru: obrázek/gif
Nahráno dne: 11. července 2019
Velikost souboru:
Rozměry: 300 x 300 pixelů
Titul: php.php_.php7_
Nahrál(a).: (bez autora)

Ve výchozím nastavení tento soubor GIF, který vypadá jako a obsahuje skript, je nahrán na server v aktuální složku pro nahrání z časové osy. V uvedených případech: /root/wp-content/uploads/2019/07/.
Další zajímavostí je, že základní soubor php.php_.php7_.gif, který byl nahrán na server, nelze otevřít pomocí editoru fotografií. Preview, Photoshop nebo cokoliv jiného. Místo toho, miniatura(Ikony) vytvořené automaticky WordPressem v několika rozměrech, jsou dokonale funkční .gif a lze je otevřít. A “X” černá na růžovém pozadí.

Co je to “php.php_.php7_.gif” a jak se můžeme těchto podezřelých souborů zbavit

S největší pravděpodobností tyto soubory smažte malware / virus, není řešením, pokud se omezíme pouze na to. Rozhodně php.php_.php7_.gif není legitimní soubor WordPress nebo vytvořený pluginem.
Na webovém serveru jej lze velmi snadno identifikovat, pokud jej mámeDetekce malwaru v Linuxu  nainstalováno. Antivirový/antimalwarový proces “svahy” okamžitě detekoval jako virus typu: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Důrazně se doporučuje mít jeden antivirus na webovém serveru a je nutné jej aktualizovat. Kromě toho by měl být antivirus nastaven tak, aby trvale sledoval změny provedené ve webových souborech.
Verze WordPress a všechny moduly (pluginy) by měly být také aktualizovány. Z toho, co jsem viděl, jsou všechny weby WordPress infikovány php.php_.php7_.gif mají plugin jako společný prvek “WP recenze“. Plugin, který nedávno obdržel aktualizaci, v jehož changelogu najdeme: Opraven problém se zranitelností.

U jednoho z webů postižených tímto malwarem byl v souboru error.log nalezen následující řádek:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Připadá mi, že falešný obrázek byl nahrán prostřednictvím tohoto pluginu. Chyba se původně objevila z chyby PORT fastcgi.
Důležitou zmínkou je, že tento virus / malware WordPress ve skutečnosti nezohledňuje verzi PHP na serveru. Našel jsem to na obouPHP 5.6.40 stejně jakoPHP 7.1.30.

Článek bude aktualizován, jakmile se dozvíme více o souboru malwaru php.php_.php7_.gif obsaženém v Média →Knihovna.