php.php_.php7_.gif - WordPress Logiciels malveillants (image X rose dans la médiathèque)

Une chose étrange m'a récemment été rapportée sur plusieurs sites avec WordPress.

Données du problème php.php_.php7_.gif

L'apparence mystérieuse d'un images .gif avec un «X» noir sur fond rose. Dans tous les cas, le fichier a été nommé "php.php_.php7_.gif", Ayant les mêmes propriétés partout. La partie intéressante est que ce fichier n'a pas été téléchargé par un utilisateur / auteur spécifique. "Téléchargé par: (aucun auteur)" .

Nom du fichier: php.php_.php7_.gif
Type de fichier: image / gif
Téléchargé sur: 11 juillet 2019
Taille du fichier:
Dimensions : 300 par 300 pixels
Titre: php.php_.php7_
Téléchargé par: (aucun auteur)

By default, ce fichier .GIF qui ressemble à contient un script, est chargé sur le serveur dans le dossier de téléchargement actuel de la chronologie. Dans les cas donnés: / Root / wp-content / uploads / 2019 / 07 /.
Une autre chose intéressante est que le fichier de base, php.php_.php7_.gif, qui a été chargé sur le serveur, ne peut pas être ouvert par un éditeur de photo. Aperçu, Photoshop ou tout autre. Au lieu de cela, thumbnail(icônes) faites automatiquement par WordPress sur plusieurs tailles, les .gifs sont parfaitement fonctionnels et s'ouvrent. Un "X" noir sur fond rose.

Qu'est-ce que "php.php_.php7_.gif" et comment se débarrasser de ces fichiers suspects?

Supprimer ces fichiers le plus probable malware / virus, n'est pas une solution si nous nous limitons à cela. Certes, php.php_.php7_.gif n'est pas un fichier légitime de WordPress ou créé par un plugin.
Sur un serveur Web, il peut être facilement identifié si nous avons Linux Détection des logiciels malveillants  installée. Le processus antivirus / anti-malware de "maldet"Détecté immédiatement comme un virus du type:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Il est fortement recommandé d’en avoir un antivirus sur le serveur Web et le mettre à jour à ce jour. En outre, l'antivirus est configuré pour surveiller en permanence les modifications apportées aux fichiers Web.
Version de WordPress et tous modules (plugins) également être mis à jour. D'après ce que j'ai vu, tous les sites WordPress infecté avec php.php_.php7_.gif avoir comme élément commun le plugin "WP critique". Plugin qui a récemment reçu une mise à jour dans le changelog dont nous trouvons: Problème de vulnérabilité résolu.

Pour l'un des sites concernés par ce malware, en error.log a trouvé la ligne suivante:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Cela me fait penser que le téléchargement de fausses images a été effectué via ce plug-in. L'erreur découle d'abord d'une erreur fastcgi PORT.
Une mention importante est que ce virus / WordPress les logiciels malveillants ne prêtent pas beaucoup d'attention à la version de PHP sur le serveur. j'ai trouvé les deux PHP 5.6.40 et PHP 7.1.30.

L'article sera mis à jour à mesure que nous en saurons plus sur le fichier malveillant php.php_.php7_.gif présent dans Média →  Bibliothèque.

Passionné par la technologie, j'écris avec plaisir sur StealthSettings.com depuis 2006. J'ai une expérience approfondie dans les systèmes d'exploitation : macOS, Windows et Linux, ainsi que dans les langages de programmation et les plates-formes de blogging (WordPress) et pour les boutiques en ligne (WooCommerce, Magento, PrestaShop).

Comment » Antivirus et sécurité » php.php_.php7_.gif - WordPress Logiciels malveillants (image X rose dans la médiathèque)
Laisser un commentaire