php.php_.php7_.gif - WordPress Malware (imagen de X rosa en la biblioteca de medios)

Hace poco me informaron de algo extraño en varios sitios con WordPress.

Datos del problema php.php_.php7_.gif

La misteriosa aparición de un imágenes .gif con una "X" negra sobre un fondo rosa. En todos los casos, el archivo se denominó "php.php_.php7_.gif", Teniendo las mismas propiedades en todas partes. Lo interesante es que este archivo no ha sido subido por un usuario / autor específico. "Subido por: (sin autor)".

Nombre de archivo: php.php_.php7_.gif
Tipo de archivo: image / gif
Subido en: 11 julio de 2019
Tamaño de archivo:
Dimensiones: 300 por píxeles 300
Titulo: php.php_.php7_
Subido por: (sin autor)

Por defecto, este archivo .GIF parece ser un contiene un guion, se carga en el servidor en la carpeta de subidas actual De la cronología. En los casos dados: / Raíz / wp-content / uploads / 2019 / 07 /.
Otra cosa interesante es que el archivo base, php.php_.php7_.gif, que se cargó en el servidor, no puede abrirse con un editor de fotos. Vista previa, Photoshop o cualquier otro. En su lugar, uña del pulgarlos (iconos) hechos automáticamente por WordPress en varias dimensiones, son .gifs perfectamente funcionales y se pueden abrir. Una "X" negra sobre un fondo rosa.

¿Qué es "php.php_.php7_.gif" y cómo deshacerse de estos archivos sospechosos?

Eliminar estos archivos lo más probable el malware / virus, no es una solución si nos limitamos a eso. Claro, php.php_.php7_.gif no es un archivo de WordPress legítimo o creado por un complemento.
En un servidor web se puede identificar fácilmente si tenemos Linux Malware Detect  instalado. El proceso antivirus / antimalware de "maldet"Detectado inmediatamente como un virus del tipo:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Es altamente recomendable tener uno. antivirus en el servidor web y actualizarlo hasta la fecha.. Además, el antivirus está configurado para monitorear permanentemente los cambios en los archivos web.
La versión de WordPress y todo Los módulos (plugins) también se actualizarán.. Por lo que vi, todos los sitios de WordPress infectados con php.php_.php7_.gif tienen como elemento común el plugin "WP Revisión". Complemento que recientemente recibió una actualización en cuyo registro de cambios encontramos: Problema de vulnerabilidad solucionado.

Para uno de los sitios afectados por este malware, en el error.log, se encontró la siguiente línea:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Me hace pensar que la carga de imágenes falsas se realizó a través de este complemento. El error primero surge de un error PORT de fastcgi.
Una nota importante es que este malware / WordPress realmente no tiene en cuenta la versión de PHP en el servidor. Lo encontré tanto PHP 5.6.40 y la PHP 7.1.30.

El artículo se actualizará a medida que encontremos más información sobre el archivo de malware php.php_.php7_.gif presente en Noticias →  Library.

php.php_.php7_.gif - WordPress Malware (imagen de X rosa en la biblioteca de medios)

Sobre el Autor

Sigilo

Apasionado de todo lo relacionado con los gadgets y las TI, escribo con placer en sigilosettings.com desde 2006 y me gusta descubrir contigo cosas nuevas sobre computadoras y sistemas operativos macOS, Linux, Windows, iOS y Android.

Deja un comentario