O chestie ciudata mi-a fost semnalata recent pe mai multe site-uri cu WordPress.

Datele problemei php.php_.php7_.gif

Aparitia misterioasa a unei imagini .gif cu un “X” negru pe un background roz. In toate cazurile, fisierul avea numele “php.php_.php7_.gif“, avand aceleasi proprietati peste tot. Partea interesanta este ca acest fisier nu are facut uploadul de catre un user / autor anume. “Uploaded by: (no author)“.

File name: php.php_.php7_.gif
File type: image/gif
Uploaded on: July 11, 2019
File size:
Dimensions: 300 by 300 pixels
Title: php.php_.php7_
Uploaded By: (no author)

By default, acest fisier .GIF care pare a contine un script, este incarcat pe server in folder-ul curent de uploads din cronologie. In cazurile date: /root/wp-content/uploads/2019/07/.
O alta chestie interesanta este aceea ca fisierul de baza, php.php_.php7_.gif, cel care a fost urcat pe server, nu poate fi deschis de un editor foto. Preview, Photoshop sau oricare altul. In schimb, miniatura-urile (pictogramele) facute automat de WordPress pe mai multe dimensiuni, sunt .gif-uri perfect functionale si se pot deschide. Un “X” negru pe fond roz.

O que é “php.php_.php7_.gif” si cum putem sa scapam de aceste fisiere suspecte

Stergerea acestor fisiere cel mai probabil malware / vírus, nu este o solutie daca ne limitam doar la atat. Cu siguranta php.php_.php7_.gif nu este un fisier legitim al WordPress sau creat de un plugin.
Pe un server web el poate fi identificat foarte usor, daca avemLinux Malware Detect  instalat. Procesul anti-virus / anti-malware al “maldet” l-a detectat imediat ca fiind un virus de tip: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

É altamente recomendável ter um antivírus no servidor web e deve ser atualizado. Além disso, o antivírus deve ser configurado para monitorar permanentemente as alterações feitas nos arquivos da web.
Versão WordPress E tudo os módulos (plugins) também devem ser atualizados. Pelo que tenho visto, todos os sites WordPress estão infectados com php.php_.php7_.gif eles têm o plugin como um elemento comum “Revisão do WP“. Plugin que recentemente recebeu uma atualização, em cujo changelog encontramos: Problema de vulnerabilidade corrigido.

Para um dos sites afetados por este malware, a seguinte linha foi encontrada no error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Isso me faz pensar que a imagem falsa foi carregada através deste plugin. O erro que aparece inicialmente devido a um erro PORT fastcgi.
O mentiune importanta este ca acest virus / WordPress malware nu prea tine cont de versiunea PHP de pe server. Am gasit-o atat pePHP 5.6.40 bem como emPHP 7.1.30.

Articolul va fi actualizat pe masura ce mai aflam date despre fisierul malware php.php_.php7_.gif prezent in Mídia →Library.