php.php_.php7_.gif - WordPress Malware (imagen de X rosa en la biblioteca de medios)

Hace poco me informaron de algo extraño en varios sitios con WordPress.

Datos del problema php.php_.php7_.gif

La misteriosa aparición de un imágenes .gif con una "X" negra sobre un fondo rosa. En todos los casos, el archivo se denominó "php.php_.php7_.gif", Teniendo las mismas propiedades en todas partes. Lo interesante es que este archivo no ha sido subido por un usuario / autor específico. "Subido por: (sin autor)".

File Nombre: php.php_.php7_.gif
File tipo: image / gif
Subido en: 11 julio de 2019
File tamaño:
Dimensiones: 300 por píxeles 300
Título: php.php_.php7_
Subido por: (sin autor)

By default, este archivo .GIF que parece contiene un guion, se carga en el servidor en la carpeta de subidas actual De la cronología. En los casos dados: / Raíz / wp-content / uploads / 2019 / 07 /.
Otra cosa interesante es que el archivo base, php.php_.php7_.gif, que se cargó en el servidor, no puede abrirse con un editor de fotos. Vista previa, Photoshop o cualquier otro. En su lugar, uña del pulgarlos (iconos) hechos automáticamente por WordPress en varias dimensiones, son .gifs perfectamente funcionales y se pueden abrir. Una "X" negra sobre un fondo rosa.

¿Qué es "php.php_.php7_.gif" y cómo deshacerse de estos archivos sospechosos?

Eliminar estos archivos lo más probable el malware / virus, no es una solución si nos limitamos a eso. Claro, php.php_.php7_.gif no es un archivo de WordPress legítimo o creado por un complemento.
En un servidor web se puede identificar fácilmente si tenemos Linux Malware Detect  instalado. El proceso antivirus / antimalware de "maldet"Detectado inmediatamente como un virus del tipo:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Es altamente recomendable tener uno. antivirus en el servidor web y actualizarlo hasta la fecha.. Además, el antivirus está configurado para monitorear permanentemente los cambios en los archivos web.
La versión de WordPress y todo Los módulos (plugins) también se actualizarán.. Por lo que vi, todos los sitios de WordPress infectados con php.php_.php7_.gif tienen como elemento común el plugin "WP Revisión". Complemento que recientemente recibió una actualización en cuyo registro de cambios encontramos: Problema de vulnerabilidad solucionado.

Para uno de los sitios afectados por este malware, en error.log encontró la siguiente línea:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Me hace pensar que la carga de imágenes falsas se realizó a través de este complemento. El error primero surge de un error PORT de fastcgi.
Una nota importante es que este malware / WordPress realmente no tiene en cuenta la versión de PHP en el servidor. Lo encontré tanto PHP 5.6.40 y la PHP 7.1.30.

El artículo se actualizará a medida que encontremos más información sobre el archivo de malware php.php_.php7_.gif presente en En los Medios →  Library.

php.php_.php7_.gif - WordPress Malware (imagen de X rosa en la biblioteca de medios)

Sobre la autora

Stealth

Apasionado de todo lo relacionado con los gadgets y las TI, escribo con placer en sigilosettings.com desde 2006 y me gusta descubrir contigo cosas nuevas sobre computadoras y sistemas operativos macSO, Linux, Windows, iOS y Android.

Deja un comentario