Recentemente mi è stata segnalata una cosa strana su diversi siti con WordPress.

Dati del problema php.php_.php7_.gif

L'aspetto misterioso di a Immagini .gif con a “X” nero su sfondo rosa. In tutti i casi, il file aveva il nome “php.php_.php7_.gif“, avendo le stesse proprietà ovunque. La parte interessante è che questo file non è stato caricato da un utente/autore specifico. “Caricato da: (nessun autore)“.

Nome del file: php.php_.php7_.gif
Tipo di file: immagine/gif
Caricato su: 11 luglio 2019
Dimensione del file:
Dimensioni: 300 x 300 pixel
Titolo:php.php_.php7_
Caricato da: (nessun autore)

Per impostazione predefinita, questo file .GIF che assomiglia a contiene una sceneggiatura, viene caricato sul server in la cartella dei caricamenti correnti dalla sequenza temporale. Nei casi indicati: /root/wp-content/uploads/2019/07/.
Un'altra cosa interessante è che il file di base, php.php_.php7_.gif, che è stato caricato sul server, non può essere aperto da un editor di foto. Anteprima, Photoshop o qualsiasi altro. Invece, miniaturaLe (icone) realizzate automaticamente da WordPress su più dimensioni, sono .gif perfettamente funzionanti e apribili. UN “X” nero su sfondo rosa.

Che cos'è “php.php_.php7_.gif” e come possiamo sbarazzarci di questi file sospetti

Molto probabilmente si stanno eliminando questi file malware / virus, non è una soluzione se ci limitiamo solo a questo. Sicuramente php.php_.php7_.gif non è un file WordPress legittimo o creato da un plugin.
Su un server web può essere identificato molto facilmente, se ne abbiamo unoRilevamento malware Linux  installato. Il processo antivirus/antimalware di “piste” lo ha immediatamente rilevato come un virus del tipo: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Si consiglia vivamente di averne uno antivirus sul server web e deve essere aggiornato. Inoltre, l'antivirus dovrebbe essere impostato per monitorare costantemente le modifiche apportate ai file web.
Versione WordPress e tutto anche i moduli (plugin) dovrebbero essere aggiornati. Da quello che ho visto, tutti i siti WordPress sono infetti php.php_.php7_.gif hanno il plugin come elemento comune “Recensione WP“. Plugin che proprio di recente ha ricevuto un aggiornamento, nel cui changelog troviamo: Risolto problema di vulnerabilità.

Per uno dei siti interessati da questo malware, nel file error.log è stata trovata la seguente riga:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Mi fa pensare che l'immagine falsa sia stata caricata tramite questo plugin. L'errore visualizzato inizialmente a causa di un errore PORT fastcgi.
O mentiune importanta este ca acest virus / WordPress malware nu prea tine cont de versiunea PHP de pe server. Am gasit-o atat pePHP 5.6.40 così come suPHP 7.1.30.

Articolul va fi actualizat pe masura ce mai aflam date despre fisierul malware php.php_.php7_.gif prezent in Media →Biblioteca.