O chestie ciudata mi-a fost semnalata recent pe mai multe site-uri cu WordPress.

Datele problemei php.php_.php7_.gif

Aparitia misterioasa a unei imagini .gif cu un “X” negru pe un background roz. In toate cazurile, fisierul avea numele “php.php_.php7_.gif“, avand aceleasi proprietati peste tot. Partea interesanta este ca acest fisier nu are facut uploadul de catre un user / autor anume. “Uploaded by: (no author)“.

File name: php.php_.php7_.gif
File type: image/gif
Uploaded on: July 11, 2019
File size:
Dimensions: 300 by 300 pixels
Title: php.php_.php7_
Uploaded By: (no author)

By default, acest fisier .GIF care pare a contine un script, este incarcat pe server in folder-ul curent de uploads din cronologie. In cazurile date: /root/wp-content/uploads/2019/07/.
En annen interessant ting er at basisfilen, php.php_.php7_.gif, som ble lastet opp til serveren, ikke kan åpnes av en fotoredigerer. Forhåndsvisning, Photoshop eller noe annet. I stedet, Miniatyrbilde(Ikonene) laget automatisk av WordPress på flere dimensjoner, er perfekt funksjonelle .gifs og kan åpnes. EN “X” svart på rosa bakgrunn.

Hva er det “php.php_.php7_.gif” og hvordan kan vi bli kvitt disse mistenkelige filene

Sletter sannsynligvis disse filene malware / virus, det er ikke en løsning hvis vi begrenser oss bare til det. Definitivt er php.php_.php7_.gif ikke en legitim WordPress-fil eller opprettet av en plugin.
På en webserver kan den identifiseres veldig enkelt, hvis vi har enOppdager Linux Malware  installert. Antivirus-/anti-malware-prosessen til “bakker” oppdaget det umiddelbart som et virus av typen: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det anbefales sterkt å ha en antivirus på webserveren og den må oppdateres. I tillegg bør antiviruset settes til å overvåke endringene som gjøres i nettfilene permanent.
WordPress versjon og alt modulene (plugins) bør også oppdateres. Fra det jeg har sett er alle WordPress-sider infisert med php.php_.php7_.gif de har plugin som et felles element “WP anmeldelse“. Plugin som nylig mottok en oppdatering, i hvis endringslogg vi finner: Rettet sårbarhetsproblem.

For ett av nettstedene som er berørt av denne skadelige programvaren, ble følgende linje funnet i error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får meg til å tro at det falske bildet ble lastet opp gjennom denne plugin-en. Feilen som opprinnelig dukket opp fra en PORT fastcgi-feil.
En viktig omtale er at dette viruset/WordPress malware egentlig ikke tar hensyn til PHP-versjonen på serveren. Jeg fant begge delerPHP 5.6.40 så vel som påPHP 7.1.30.

Artikkelen vil bli oppdatert etter hvert som vi lærer mer om skadevarefilen php.php_.php7_.gif som finnes i Media →Bibliotek.