Uma coisa estranha me foi relatada recentemente em vários sites com WordPress.

Dados do problema php.php_.php7_.gif

A aparição misteriosa de um imagens .gif com um “X” preto em um fundo rosa. Em todos os casos, o arquivo tinha o nome “php.php_.php7_.gif“, tendo as mesmas propriedades em todos os lugares. O interessante é que este arquivo não foi carregado por um usuário/autor específico. “Enviado por: (sem autor)“.

Nome do arquivo: php.php_.php7_.gif
Tipo de arquivo: imagem/gif
Carregado em: 11 de julho de 2019
Tamanho do arquivo:
Dimensões: 300 por 300 pixels
Título: php.php_.php7_
Enviado por: (sem autor)

Por padrão, este arquivo .GIF que se parece com um contém um roteiro, é carregado no servidor em a pasta de uploads atual da linha do tempo. Nos casos indicados: /root/wp-content/uploads/2019/07/.
Outra coisa interessante é que o arquivo base, php.php_.php7_.gif, que foi carregado no servidor, não pode ser aberto por um editor de fotos. Pré-visualização, Photoshop ou qualquer outro. Em vez de, miniaturaOs (ícones) feitos automaticamente pelo WordPress em diversas dimensões, são .gifs perfeitamente funcionais e podem ser abertos. UM “X” preto sobre um fundo rosa.

O que é “php.php_.php7_.gif” e como podemos nos livrar desses arquivos suspeitos

Excluindo esses arquivos provavelmente malware / vírus, não é uma solução se nos limitarmos apenas a isso. Definitivamente php.php_.php7_.gif não é um arquivo WordPress legítimo ou criado por um plugin.
Em um servidor web ele pode ser identificado facilmente, se tivermos umDetecção de malware Linux  instalado. O processo antivírus/antimalware de “encostas” detectou imediatamente como um vírus do tipo: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

É altamente recomendável ter um antivírus no servidor web e deve ser atualizado. Além disso, o antivírus deve ser configurado para monitorar permanentemente as alterações feitas nos arquivos da web.
Versão WordPress E tudo os módulos (plugins) também devem ser atualizados. Pelo que tenho visto, todos os sites WordPress estão infectados com php.php_.php7_.gif eles têm o plugin como um elemento comum “Revisão do WP“. Plugin que recentemente recebeu uma atualização, em cujo changelog encontramos: Problema de vulnerabilidade corrigido.

Para um dos sites afetados por este malware, a seguinte linha foi encontrada no error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Isso me faz pensar que a imagem falsa foi carregada através deste plugin. O erro que aparece inicialmente devido a um erro PORT fastcgi.
Uma menção importante é que este vírus/malware WordPress não leva em consideração a versão do PHP no servidor. achei os dois emPHP 5.6.40 bem como emPHP 7.1.30.

O artigo será atualizado à medida que aprendermos mais sobre o arquivo de malware php.php_.php7_.gif presente em Mídia →Biblioteca.