Une chose étrange m'a été rapportée récemment sur plusieurs sites avec WordPress.

Données du problème php.php_.php7_.gif

L'apparition mystérieuse d'un Images .gif avec un “X” noir sur fond rose. Dans tous les cas, le fichier portait le nom “php.php_.php7_.gif“, ayant partout les mêmes propriétés. La partie intéressante est que ce fichier n'a pas été téléchargé par un utilisateur/auteur spécifique. “Téléchargé par : (aucun auteur)“.

Nom de fichier: php.php_.php7_.gif
Type de fichier : image/gif
Mis en ligne sur : 11 juillet 2019
Taille du fichier :
Dimensions: 300 par 300 pixels
Titre: php.php_.php7_
Téléchargé par: (pas d'auteur)

Par défaut, ce fichier .GIF qui ressemble à un contient un script, est téléchargé sur le serveur dans le dossier de téléchargements actuel de la chronologie. Dans les cas donnés : /root/wp-content/uploads/2019/07/.
Une autre chose intéressante est que le fichier de base, php.php_.php7_.gif, qui a été téléchargé sur le serveur, ne peut pas être ouvert par un éditeur de photos. Aperçu, Photoshop ou tout autre. Plutôt, vignetteLes (icônes) réalisées automatiquement par WordPress sur plusieurs dimensions, sont des .gifs parfaitement fonctionnels et peuvent être ouverts. UN “X” noir sur fond rose.

Qu'est-ce que c'est “php.php_.php7_.gif” et comment pouvons-nous nous débarrasser de ces fichiers suspects

La suppression de ces fichiers est très probable malware / virus, ce n'est pas une solution si on se limite à cela. Certainement php.php_.php7_.gif n'est pas un fichier WordPress légitime ni créé par un plugin.
Sur un serveur web on peut l'identifier très facilement, si on en a unDétection des logiciels malveillants Linux  installé. Le processus antivirus/anti-malware de “pistes” l'a immédiatement détecté comme un virus du type : “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Il est fortement recommandé d'en avoir un antivirus sur le serveur web et il doit être mis à jour. De plus, l'antivirus doit être configuré pour surveiller en permanence les modifications apportées aux fichiers Web.
Version WordPress et tout les modules (plugins) devraient également être mis à jour. D’après ce que j’ai vu, tous les sites WordPress sont infectés par php.php_.php7_.gif ils ont le plugin comme élément commun “Examen du WP“. Plugin qui vient de recevoir une mise à jour, dans le changelog duquel on trouve : Problème de vulnérabilité résolu.

Pour l'un des sites concernés par ce malware, la ligne suivante a été trouvée dans le error.log :

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Cela me fait penser que la fausse image a été téléchargée via ce plugin. L'erreur apparaissant initialement à partir d'une erreur PORT fastcgi.
Une mention importante est que ce virus/malware WordPress ne prend pas vraiment en compte la version PHP sur le serveur. Je l'ai trouvé tous les deux surPHP5.6.40 ainsi que surPHP7.1.30.

L'article sera mis à jour au fur et à mesure que nous en apprendrons davantage sur le fichier malveillant php.php_.php7_.gif présent dans Médias →Bibliothèque.