Una cosa strana mi è stata recentemente segnalata in diversi siti con WordPress.
Dati problema php.php_.php7_.gif
La misteriosa apparizione di a Immagini .gif con una "X" nera su sfondo rosa. In tutti i casi, il file è stato denominato "php.php_.php7_.gif", Avere le stesse proprietà ovunque. La parte interessante è che questo file non è stato caricato da un utente / autore specifico. "Caricato da: (nessun autore)".
Nome file: php.php_.php7_.gif
Tipo di file: image / gif
Caricato su: Luglio 11, 2019
Dimensione del file:
Dimensioni: 300 di 300 pixel
Titolo: php.php_.php7_
Caricato da: (nessun autore)
By default, questo file .GIF che assomiglia contiene una sceneggiatura, è caricato sul server in la cartella caricamenti corrente dalla cronologia. Nei casi indicati: / Root / wp-content / uploads / 2019 / 07 /.
Un'altra cosa interessante è che il file di base, php.php_.php7_.gif, che è stato caricato sul server, non può essere aperto da un editor di foto. Anteprima, Photoshop o qualsiasi altro. Invece, miniature(icone) fatte automaticamente da WordPress su diverse dimensioni, le .gif sono perfettamente funzionanti e apribili. Una "X" nera su sfondo rosa.
Che cos'è "php.php_.php7_.gif" e come possiamo sbarazzarci di questi file sospetti?
Elimina questi file molto probabilmente il malware / virus, non è una soluzione se ci limitiamo a questo. Certamente php.php_.php7_.gif non è un file legittimo di WordPress o creato da un plugin.
Su un server web può essere facilmente identificato se lo abbiamo Linux Rilevamento malware installato. Il processo anti-virus / anti-malware di "maldet"Immediatamente rilevato come un virus del tipo:"{} YARA php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Si consiglia vivamente di averne uno antivirus sul server Web e aggiornarlo fino ad oggi. Inoltre, l'antivirus è impostato per monitorare in modo permanente le modifiche ai file Web.
Versione di WordPress e tutti anche i moduli (plugin) vengono aggiornati. Da quello che ho visto, tutti i siti WordPress infettato con php.php_.php7_.gif hanno come elemento comune il plugin "WP Recensione". Plugin che ha recentemente ricevuto un aggiornamento nel cui changelog troviamo: Risolto il problema di vulnerabilità.
Per uno dei siti interessati da questo malware, in error.log ha trovato la seguente riga:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Mi fa pensare che il caricamento di immagini false sia stato effettuato tramite questo plug-in. L'errore innanzitutto deriva da un errore PORT fastcgi.
Una menzione importante è che questo virus / WordPress il malware non presta molta attenzione alla versione PHP sul server. Ho trovato entrambi PHP 5.6.40 e la PHP 7.1.30.
L'articolo verrà aggiornato man mano che scopriremo di più sul file php.php_.php7_.gif presente in Media → Biblioteca.
