Hace poco me informaron de algo extraño en varios sitios con WordPress.
Datos del problema php.php_.php7_.gif
La misteriosa aparición de un imágenes .gif con una "X" negra sobre un fondo rosa. En todos los casos, el archivo se denominó "php.php_.php7_.gif", Teniendo las mismas propiedades en todas partes. Lo interesante es que este archivo no ha sido subido por un usuario / autor específico. "Subido por: (sin autor)".
Nombre de archivo: php.php_.php7_.gif
Tipo de archivo: image / gif
Subido en: 11 de Julio de 2019
Tamaño de archivo:
Dimensiones: 300 por píxeles 300
Título: php.php_.php7_
Subido por: (sin autor)
By default, este archivo .GIF que parece contiene un guion, se carga en el servidor en la carpeta de subidas actual De la cronología. En los casos dados: / Raíz / wp-content / uploads / 2019 / 07 /.
Otra cosa interesante es que el archivo base, php.php_.php7_.gif, que se cargó en el servidor, no puede abrirse con un editor de fotos. Vista previa, Photoshop o cualquier otro. En su lugar, uña del pulgar(iconos) hechos automáticamente por WordPress en varios tamaños, los .gif son perfectamente funcionales y se pueden abrir. Una "X" negra sobre un fondo rosa.
¿Qué es "php.php_.php7_.gif" y cómo deshacerse de estos archivos sospechosos?
Eliminar estos archivos lo más probable el malware / virus, no es una solución si nos limitamos a eso. Ciertamente, php.php_.php7_.gif no es un archivo legítimo de WordPress o creado por un complemento.
En un servidor web se puede identificar fácilmente si tenemos Linux Detección de malware instalado. El proceso antivirus / antimalware de "maldet"Detectado inmediatamente como un virus del tipo:"{} YARA php_in_image"
FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif
Es altamente recomendable tener uno. antivirus en el servidor web y actualizarlo hasta la fecha.. Además, el antivirus está configurado para monitorear permanentemente los cambios en los archivos web.
Versión de WordPress y todo Los módulos (plugins) también se actualizarán.. Por lo que he visto, todos los sitios WordPress infectado con php.php_.php7_.gif tienen como elemento común el plugin "WP Revisión". Complemento que recientemente recibió una actualización en cuyo registro de cambios encontramos: Problema de vulnerabilidad solucionado.
Para uno de los sitios afectados por este malware, en error.log encontró la siguiente línea:
2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"
Me hace pensar que la carga de imágenes falsas se realizó a través de este complemento. El error primero surge de un error PORT de fastcgi.
Una mención importante es que este virus/ WordPress el malware no presta mucha atención a la versión de PHP en el servidor. Encontré ambos PHP 5.6.40 y la PHP 7.1.30.
El artículo se actualizará a medida que encontremos más información sobre el archivo de malware php.php_.php7_.gif presente en Medios → Biblioteca.
