O chestie ciudata mi-a fost semnalata recent pe mai multe site-uri cu WordPress.
Datele problemei php.php_.php7_.gif
Aparitia misterioasa a unei imagini .gif cu un “X” negru pe un background roz. In toate cazurile, fisierul avea numele “php.php_.php7_.gif“, avand aceleasi proprietati peste tot. Partea interesanta este ca acest fisier nu are facut uploadul de catre un user / autor anume. “Uploaded by: (no author)“.
File name: php.php_.php7_.gif
File type: image/gif
Uploaded on: July 11, 2019
File size:
Dimensions: 300 by 300 pixels
Title: php.php_.php7_
Uploaded By: (no author)
By default, acest fisier .GIF care pare a contine un script, este incarcat pe server in folder-ul curent de uploads din cronologie. In cazurile date: /root/wp-content/uploads/2019/07/.
O alta chestie interesanta este aceea ca fisierul de baza, php.php_.php7_.gif, cel care a fost urcat pe server, nu poate fi deschis de un editor foto. Preview, Photoshop sau oricare altul. In schimb, thumbnail-urile (pictogramele) facute automat de WordPress pe mai multe dimensiuni, sunt .gif-uri perfect functionale si se pot deschide. Un “X” negru pe fond roz.
Ce este “php.php_.php7_.gif” si cum putem sa scapam de aceste fisiere suspecte
Stergerea acestor fisiere cel mai probabil malware / virusi, nu este o solutie daca ne limitam doar la atat. Cu siguranta php.php_.php7_.gif nu este un fisier legitim al WordPress sau creat de un plugin.
Pe un server web el poate fi identificat foarte usor, daca avem Linux Malware Detect instalat. Procesul anti-virus / anti-malware al “maldet” l-a detectat imediat ca fiind un virus de tip: “{YARA}php_in_image“
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Este foarte recomandat sa aveti un antivirus pe web server si acesta sa fie actualizat la zi. In plus, antivirusul sa fie setat sa monitorizeze in permanenta modificarile aduse fisierelor web.
Versiunea de WordPress si toate modulele (plugins) sa fie si ele actualizate. Din cate am vazut, toate site-urile WordPress virusate cu php.php_.php7_.gif au ca element comun plugin-ul “WP Review“. Plugin ce tocmai a primit de putin timp o actualizare in al carei changelog gasim: Fixed vulnerability issue.
Pentru unul dintre site-urile afectate de acest malware, in error.log s-a gasit urmatoarea linie:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Ma face sa ma duc cu gandul ca upload-ul falsei imagini s-a facut prin intermediul acestui plugin. Eroarea aparand initial dintr-o eroare de PORT fastcgi.
O mentiune importanta este ca acest virus / WordPress malware nu prea tine cont de versiunea PHP de pe server. Am gasit-o atat pe PHP 5.6.40 cat si pe PHP 7.1.30.
Articolul va fi actualizat pe masura ce mai aflam date despre fisierul malware php.php_.php7_.gif prezent in Media → Library.