O chestie ciudata mi-a fost semnalata recent pe mai multe site-uri cu WordPress.

Datele problemei php.php_.php7_.gif

Aparitia misterioasa a unei imagini .gif cu un “x” negru pe un background roz. In toate cazurile, fisierul avea numele “php.php_.php7_.gif“, avand aceleasi proprietati peste tot. Partea interesanta este ca acest fisier nu are facut uploadul de catre un user / autor anume. “Uploaded by: (no author)“.

File name: php.php_.php7_.gif
File type: image/gif
Uploaded on: July 11, 2019
File size:
Dimensions: 300 by 300 pixels
Title: php.php_.php7_
Uploaded By: (no author)

By default, acest fisier .GIF care pare a contine un script, este incarcat pe server in folder-ul curent de uploads din cronologie. In cazurile date: /root/wp-content/uploads/2019/07/.
En anden interessant ting er, at basisfilen, php.php_.php7_.gif, som blev uploadet til serveren, ikke kan åbnes af en fotoeditor. Preview, Photoshop eller noget andet. I stedet, thumbnailDe (ikoner) lavet automatisk af WordPress på flere dimensioner, er perfekt funktionelle .gifs og kan åbnes. EN “x” sort på en lyserød baggrund.

Hvad er det “php.php_.php7_.gif” og hvordan kan vi slippe af med disse mistænkelige filer

Sletning af disse filer højst sandsynligt malware / virus, det er ikke en løsning, hvis vi kun begrænser os til det. Absolut er php.php_.php7_.gif ikke en legitim WordPress-fil eller oprettet af et plugin.
På en webserver kan den meget let identificeres, hvis vi har enLinux Malware Detect  installeret. Anti-virus / anti-malware processen af “skråninger” opdagede det straks som en virus af typen: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det kan varmt anbefales at have en antivirus på webserveren og den skal opdateres. Derudover bør antivirusprogrammet indstilles til permanent at overvåge ændringerne i webfilerne.
WordPress version og det hele modulerne (plugins) bør også opdateres. Fra hvad jeg har set, er alle WordPress-websteder inficeret med php.php_.php7_.gif de har plugin'et som et fælles element “WP anmeldelse“. Plugin, der for nylig har modtaget en opdatering, i hvis changelog vi finder: Rettet sårbarhedsproblem.

For et af de websteder, der er berørt af denne malware, blev følgende linje fundet i error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får mig til at tro, at det falske billede blev uploadet gennem dette plugin. Fejlen opstod oprindeligt fra en PORT fastcgi-fejl.
En vigtig omtale er, at denne virus / WordPress malware ikke rigtig tager højde for PHP-versionen på serveren. Jeg fandt det begge påPHP 5.6.40 såvel som viderePHP 7.1.30.

Artiklen vil blive opdateret, efterhånden som vi lærer mere om malware-filen php.php_.php7_.gif, der findes i Medier →Bibliotek.