Recientemente me informaron de algo extraño en varios sitios con WordPress.
Datos del problema php.php_.php7_.gif
La misteriosa aparición de un Imágenes .gif con un “incógnita” negro sobre un fondo rosa. En todos los casos, el archivo tenía el nombre “php.php_.php7_.gif“, teniendo las mismas propiedades en todas partes. Lo interesante es que este archivo no fue subido por un usuario/autor específico. “Subido por: (sin autor)“.
Nombre del archivo: php.php_.php7_.gif
Tipo de archivo: imagen/gif
Subido en: 11 de julio de 2019
Tamaño del archivo:
Dimensiones: 300 por 300 píxeles
Título: php.php_.php7_
Subido por: (sin autor)
De forma predeterminada, este archivo .GIF que parece un contiene un guión, se sube al servidor en la carpeta de cargas actuales de la línea de tiempo. En los casos dados: /root/wp-content/uploads/2019/07/.
Otra cosa interesante es que el archivo base, php.php_.php7_.gif, que se cargó en el servidor, no se puede abrir con un editor de fotografías. Vista previa, Photoshop o cualquier otro. En cambio, uña del pulgarLos (iconos) creados automáticamente por WordPress en varias dimensiones, son .gif perfectamente funcionales y se pueden abrir. A “incógnita” negro sobre fondo rosa.
Qué es “php.php_.php7_.gif” y ¿cómo podemos deshacernos de estos archivos sospechosos?
Lo más probable es que elimines estos archivos malware / virus, no es una solución si nos limitamos sólo a eso. Definitivamente, php.php_.php7_.gif no es un archivo legítimo de WordPress ni está creado por un complemento.
En un servidor web se puede identificar muy fácilmente, si tenemos uno.Detección de malware en Linux instalado. El proceso antivirus/antimalware de “pendientes” Inmediatamente lo detectó como un virus del tipo: “{YARA}php_in_image“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Es muy recomendable tener uno. antivirus en el servidor web y debe estar actualizado. Además, el antivirus debe configurarse para monitorear permanentemente los cambios realizados en los archivos web.
Versión de WordPress Y todo los módulos (complementos) también deben actualizarse. Por lo que he visto, todos los sitios de WordPress están infectados con php.php_.php7_.gif tienen el plugin como elemento común “Revisión de WP“. Plugin que acaba de recibir una actualización, en cuyo registro de cambios encontramos: Problema de vulnerabilidad solucionado.
Para uno de los sitios afectados por este malware, se encontró la siguiente línea en el archivo error.log:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Me hace pensar que la imagen falsa se subió a través de este complemento. El error que aparece inicialmente debido a un error de PORT fastcgi.
Una mención importante es que este virus/malware de WordPress realmente no tiene en cuenta la versión de PHP en el servidor. Lo encontré ambos enPHP 5.6.40 así como enPHP 7.1.30.
El artículo se actualizará a medida que aprendamos más sobre el archivo de malware php.php_.php7_.gif presente en Medios de comunicación →Biblioteca.
