Mir wurde kürzlich auf mehreren Seiten etwas Seltsames gemeldet WordPress.

Problemdaten php.php_.php7_.gif

Das mysteriöse Erscheinen eines .gif-Bilder mit einem “X” schwarz auf rosa Hintergrund. In allen Fällen hatte die Datei den Namen “php.php_.php7_.gif“, überall die gleichen Eigenschaften haben. Das Interessante daran ist, dass diese Datei nicht von einem bestimmten Benutzer/Autor hochgeladen wurde. “Hochgeladen von: (kein Autor)“.

Dateiname: php.php_.php7_.gif
Dateityp: Bild/Gif
Hochgeladen am: 11. Juli 2019
Dateigröße:
Abmessungen: 300 x 300 Pixel
Titel: php.php_.php7_
Hochgeladen von: (kein Autor)

Standardmäßig ist diese .GIF-Datei, die wie eine aussieht enthält ein Skript, wird auf den Server hochgeladen der aktuelle Upload-Ordner aus der Zeitleiste. In den angegebenen Fällen: /root/wp-content/uploads/2019/07/.
Interessant ist auch, dass die Basisdatei php.php_.php7_.gif, die auf den Server hochgeladen wurde, nicht mit einem Bildbearbeitungsprogramm geöffnet werden kann. Vorschau, Photoshop oder andere. Stattdessen, MiniaturansichtDie von WordPress in mehreren Dimensionen automatisch erstellten (Symbole) sind perfekt funktionierende GIFs und können geöffnet werden. A “X” schwarz auf rosa Hintergrund.

Was ist das “php.php_.php7_.gif” und wie können wir diese verdächtigen Dateien loswerden?

Diese Dateien werden höchstwahrscheinlich gelöscht Malware / Virus, es ist keine Lösung, wenn wir uns nur darauf beschränken. Definitiv ist php.php_.php7_.gif keine legitime WordPress-Datei und wurde auch nicht von einem Plugin erstellt.
Auf einem Webserver kann es sehr leicht identifiziert werden, sofern wir einen habenLinux-Malware-Erkennung  installiert. Der Antiviren-/Anti-Malware-Prozess von “Pisten” Es wurde sofort als Virus des Typs erkannt: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Este foarte recomandat sa aveti un antivirus pe web server si acesta sa fie actualizat la zi. In plus, antivirusul sa fie setat sa monitorizeze in permanenta modificarile aduse fisierelor web.
Versiunea de WordPress si toate modulele (plugins) sa fie si ele actualizate. Din cate am vazut, toate site-urile WordPress virusate cu php.php_.php7_.gif au ca element comun plugin-ul “WP Review“. Plugin ce tocmai a primit de putin timp o actualizare in al carei changelog gasim: Fixed vulnerability issue.

Pentru unul dintre site-urile afectate de acest malware, in error.log s-a gasit urmatoarea linie:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Ma face sa ma duc cu gandul ca upload-ul falsei imagini s-a facut prin intermediul acestui plugin. Eroarea aparand initial dintr-o eroare de PORT fastcgi.
O mentiune importanta este ca acest virus / WordPress malware nu prea tine cont de versiunea PHP de pe server. Am gasit-o atat pePHP 5.6.40 sowie aufPHP 7.1.30.

Articolul va fi actualizat pe masura ce mai aflam date despre fisierul malware php.php_.php7_.gif prezent in Medien →Bibliothek.