php.php_.php7_.gif - WordPress Malware (imagen de la X rosa en la biblioteca multimedia)

Hace poco me informaron de algo extraño en varios sitios con WordPress.

Datos del problema php.php_.php7_.gif

La misteriosa aparición de un imágenes .gif con una "X" negra sobre un fondo rosa. En todos los casos, el archivo se denominó "php.php_.php7_.gif", Teniendo las mismas propiedades en todas partes. Lo interesante es que este archivo no ha sido subido por un usuario / autor específico. "Subido por: (sin autor)".

File Nombre: php.php_.php7_.gif
File tipo: image / gif
Subido en: 11 julio de 2019
File tamaño:
Dimensiones: 300 por píxeles 300
Título: php.php_.php7_
Subido por: (sin autor)

gif de ping de php
software malicioso php rosa

By default, este archivo .GIF que parece contiene un guion, se carga en el servidor en la carpeta de subidas actual De la cronología. En los casos dados: / Raíz / wp-content / uploads / 2019 / 07 /.
Otra cosa interesante es que el archivo base, php.php_.php7_.gif, que se cargó en el servidor, no puede abrirse con un editor de fotos. Vista previa, Photoshop o cualquier otro. En su lugar, uña del pulgar(iconos) hechos automáticamente por WordPress en varios tamaños, los .gif son perfectamente funcionales y se pueden abrir. Una "X" negra sobre un fondo rosa.

¿Qué es "php.php_.php7_.gif" y cómo deshacerse de estos archivos sospechosos?

Eliminar estos archivos lo más probable el malware / virus, no es una solución si nos limitamos a eso. Ciertamente, php.php_.php7_.gif no es un archivo legítimo de WordPress o creado por un complemento.
En un servidor web se puede identificar fácilmente si tenemos Linux Malware Detect  instalado. El proceso antivirus / antimalware de "maldet"Detectado inmediatamente como un virus del tipo:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Es altamente recomendable tener uno. antivirus en el servidor web y actualizarlo hasta la fecha.. Además, el antivirus está configurado para monitorear permanentemente los cambios en los archivos web.
Versión de WordPress y todo Los módulos (plugins) también se actualizarán.. Por lo que he visto, todos los sitios WordPress infectado con php.php_.php7_.gif tienen como elemento común el plugin "WP Revisión". Complemento que recientemente recibió una actualización en cuyo registro de cambios encontramos: Problema de vulnerabilidad solucionado.

Para uno de los sitios afectados por este malware, en error.log encontró la siguiente línea:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Me hace pensar que la carga de imágenes falsas se realizó a través de este complemento. El error primero surge de un error PORT de fastcgi.
Una mención importante es que este virus/ WordPress el malware no presta mucha atención a la versión de PHP en el servidor. Encontré ambos PHP 5.6.40 y la PHP 7.1.30.

El artículo se actualizará a medida que encontremos más información sobre el archivo de malware php.php_.php7_.gif presente en Medios →  Biblioteca.

Apasionado de la tecnología, me gusta probar y escribir tutoriales sobre sistemas operativos. macOS, Linux, Windowsacerca de WordPress, WooCommerce y configurar servidores web LEMP (Linux, NGINX, MySQL y PHP). escribo en StealthSettings.com desde 2006, y unos años más tarde comencé a escribir en iHowTo.Tips tutoriales y noticias sobre dispositivos en el ecosistema Apple: iPhoneiPad Apple Reloj, HomePod, iMac, MacBook, AirPods y accesorios.

Deja un comentario