En mærkelig ting blev rapporteret til mig for nylig på flere websteder med WordPress.

Problemdata php.php_.php7_.gif

Det mystiske udseende af en .gif-billeder med en “X” sort på en lyserød baggrund. I alle tilfælde havde filen navnet “php.php_.php7_.gif“, der har de samme egenskaber overalt. Det interessante er, at denne fil ikke blev uploadet af en bestemt bruger/forfatter. “Uploadet af: (ingen forfatter)“.

Filnavn: php.php_.php7_.gif
Filtype: billede/gif
Uploadet på: 11. juli 2019
Filstørrelse:
Dimensioner: 300 gange 300 pixels
Titel: php.php_.php7_
Uploadet af: (ingen forfatter)

Som standard er denne .GIF-fil, der ligner en indeholder et script, uploades til serveren i den aktuelle upload-mappe fra tidslinjen. I de givne tilfælde: /root/wp-content/uploads/2019/07/.
En anden interessant ting er, at basisfilen, php.php_.php7_.gif, som blev uploadet til serveren, ikke kan åbnes af en fotoeditor. Preview, Photoshop eller noget andet. I stedet, thumbnailDe (ikoner) lavet automatisk af WordPress på flere dimensioner, er perfekt funktionelle .gifs og kan åbnes. EN “X” sort på en lyserød baggrund.

Hvad er det “php.php_.php7_.gif” og hvordan kan vi slippe af med disse mistænkelige filer

Sletning af disse filer højst sandsynligt malware / virus, det er ikke en løsning, hvis vi kun begrænser os til det. Absolut er php.php_.php7_.gif ikke en legitim WordPress-fil eller oprettet af et plugin.
På en webserver kan den meget let identificeres, hvis vi har enLinux Malware Detect  installeret. Anti-virus / anti-malware processen af “skråninger” opdagede det straks som en virus af typen: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det kan varmt anbefales at have en antivirus på webserveren og den skal opdateres. Derudover bør antivirusprogrammet indstilles til permanent at overvåge ændringerne i webfilerne.
WordPress version og det hele modulerne (plugins) bør også opdateres. Fra hvad jeg har set, er alle WordPress-websteder inficeret med php.php_.php7_.gif de har plugin'et som et fælles element “WP anmeldelse“. Plugin, der for nylig har modtaget en opdatering, i hvis changelog vi finder: Rettet sårbarhedsproblem.

For et af de websteder, der er berørt af denne malware, blev følgende linje fundet i error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får mig til at tro, at det falske billede blev uploadet gennem dette plugin. Fejlen opstod oprindeligt fra en PORT fastcgi-fejl.
En vigtig omtale er, at denne virus / WordPress malware ikke rigtig tager højde for PHP-versionen på serveren. Jeg fandt det begge påPHP 5.6.40 såvel som viderePHP 7.1.30.

Artiklen vil blive opdateret, efterhånden som vi lærer mere om malware-filen php.php_.php7_.gif, der findes i Medier →Bibliotek.