php.php_.php7_.gif - WordPress Malware (Immagine X rosa nella libreria multimediale)

Una cosa strana mi è stata recentemente segnalata in diversi siti con WordPress.

Dati problema php.php_.php7_.gif

La misteriosa apparizione di a Immagini .gif con una "X" nera su sfondo rosa. In tutti i casi, il file è stato denominato "php.php_.php7_.gif", Avere le stesse proprietà ovunque. La parte interessante è che questo file non è stato caricato da uno specifico utente / autore. "Caricato da: (nessun autore)".

Nome file: php.php_.php7_.gif
Tipo di file: image / gif
Caricato su: Luglio 11, 2019
Dimensione del file:
Dimensioni: 300 di 300 pixel
Titolo: php.php_.php7_
Caricato da: (nessun autore)

Per impostazione predefinita, questo file .GIF sembra essere un contiene una sceneggiatura, è caricato sul server in la cartella caricamenti corrente dalla cronologia. Nei casi indicati: / Root / wp-content / uploads / 2019 / 07 /.
Un'altra cosa interessante è che il file di base, php.php_.php7_.gif, che è stato caricato sul server, non può essere aperto da un editor di foto. Anteprima, Photoshop o qualsiasi altro. Invece, miniature(icone) creati automaticamente da WordPress su più dimensioni, sono perfettamente funzionanti .gif e possono essere aperti. Una "X" nera su sfondo rosa.

Che cos'è "php.php_.php7_.gif" e come possiamo sbarazzarci di questi file sospetti

Elimina questi file molto probabilmente il malware / virus, non è una soluzione se ci limitiamo a questo. Sicuramente php.php_.php7_.gif non è un file WordPress legittimo o creato da un plugin.
Su un server web può essere facilmente identificato se lo abbiamo Linux Malware Detect installato. Il processo anti-virus / anti-malware di "maldet"L'ho rilevato immediatamente come un virus del tipo:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Si consiglia vivamente di averne uno antivirus sul server Web e aggiornarlo fino ad oggi. Inoltre, l'antivirus è impostato per monitorare in modo permanente le modifiche ai file Web.
La versione di WordPress e tutti anche i moduli (plugin) vengono aggiornati. Per quanto ho visto, tutti i siti WordPress sono stati infettati php.php_.php7_.gif avere come elemento plugin comune "WP Recensione". Plugin che ha appena ricevuto un aggiornamento nel changelog che troviamo: Risolto il problema di vulnerabilità.

Per uno dei siti interessati da questo malware, nel file error.log è stata trovata la seguente riga:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Mi fa pensare che il caricamento di immagini false sia stato effettuato tramite questo plug-in. L'errore innanzitutto deriva da un errore PORT fastcgi.
Una nota importante è che questo malware / WordPress non prende realmente in considerazione la versione di PHP sul server. L'ho trovato entrambi PHP 5.6.40 e la PHP 7.1.30.

L'articolo verrà aggiornato man mano che scopriremo di più sul file php.php_.php7_.gif presente in MediaBiblioteca.

php.php_.php7_.gif - WordPress Malware (Immagine X rosa nella libreria multimediale)

Circa l'autore

Azione furtiva

Appassionato di tutto ciò che significa gadget e IT, scrivo con piacere su stealthsettings.com di 2006 e adoro scoprire nuove cose con te su computer e macOS, sistemi operativi Linux, Windows, iOS e Android.

Lascia un tuo commento