php.php_.php7_.gif - WordPress Malware (Imagen Pink X en la biblioteca de medios)

Hace poco me informaron de algo extraño en varios sitios con WordPress.

Datos del problema php.php_.php7_.gif

La misteriosa aparición de un .gif imágenes con una "X" negra sobre un fondo rosa. En todos los casos, el archivo fue nombrado "php.php_.php7_.gif", Teniendo las mismas propiedades en todas partes. Lo interesante es que este archivo no ha sido subido por un usuario / autor específico. "Subido por: (sin autor)".

Nombre de archivo: php.php_.php7_.gif
Tipo de archivo: image / gif
Subido en: 11 de julio de 2019
Tamaño de archivo:
Dimensiones: 300 por píxeles 300
Título: php.php_.php7_
Subido por: (sin autor)

Por defecto, este archivo .GIF parece ser un contiene un guion, se carga en el servidor en la carpeta de subidas actual De la cronología. En los casos dados: / Raíz / wp-content / uploads / 2019 / 07 /.
Otra cosa interesante es que el archivo base, php.php_.php7_.gif, que se cargó en el servidor, no puede abrirse con un editor de fotos. Vista previa, Photoshop o cualquier otro. En su lugar, uña del pulgarLos (iconos) hechos automáticamente por WordPress en múltiples tamaños, funcionan perfectamente .gifs y se pueden abrir. Una "X" negra sobre un fondo rosa.

¿Qué es "php.php_.php7_.gif" y cómo podemos eliminar estos archivos sospechosos?

Eliminar estos archivos lo más probable el malware / virus, no es una solución si nos limitamos a eso. Claro, php.php_.php7_.gif no es un archivo de WordPress legítimo o creado por un complemento.
En un servidor web se puede identificar fácilmente si tenemos Linux Malware Detect instalada. El proceso anti-virus / anti-malware de "maldet"Inmediatamente lo detecté como un virus tipo:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Es altamente recomendable tener uno. antivirus en el servidor web y actualizarlo hasta la fecha.. Además, el antivirus está configurado para monitorear permanentemente los cambios en los archivos web.
La versión de WordPress y todo Los módulos (plugins) también se actualizarán.. Por lo que vi, todos los sitios de WordPress infectados con php.php_.php7_.gif tener como elemento complementario común "WP Revisión". Plugin que acaba de recibir una actualización en el registro de cambios que encontramos: Problema de vulnerabilidad solucionado.

Para uno de los sitios afectados por este malware, en el error.log, se encontró la siguiente línea:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Me hace pensar que la carga de imágenes falsas se realizó a través de este complemento. El error primero surge de un error PORT de fastcgi.
Una nota importante es que este malware / WordPress realmente no tiene en cuenta la versión de PHP en el servidor. Lo encontré tanto PHP 5.6.40 y la PHP 7.1.30.

El artículo se actualizará a medida que encontremos más información sobre el archivo de malware php.php_.php7_.gif presente en MediaBiblioteca.

php.php_.php7_.gif - WordPress Malware (Imagen Pink X en la biblioteca de medios)

Sobre el Autor

Sigilo

Apasionado por todo lo que significa gadgets y TI, escribo con placer stealthsettings.com de 2006 y me gusta descubrir con usted cosas nuevas sobre computadoras y sistemas operativos macOS, Linux, Windows, iOS y Android.

Deja un comentario