php.php_.php7_.gif - Logiciel malveillant WordPress (image Pink X dans la médiathèque)

Une chose étrange m'a récemment été rapportée sur plusieurs sites avec WordPress.

Données du problème php.php_.php7_.gif

L'apparence mystérieuse d'un images .gif avec un «X» noir sur fond rose. Dans tous les cas, le fichier a été nommé "php.php_.php7_.gif", Ayant les mêmes propriétés partout. La partie intéressante est que ce fichier n'a pas été téléchargé par un utilisateur / auteur spécifique. "Téléchargé par: (aucun auteur)" .

File nom: php.php_.php7_.gif
File Type: image / gif
Téléchargé sur: 11 juillet 2019
File Taille:
Dimensions : 300 par 300 pixels
Titre: php.php_.php7_
Téléchargé par: (aucun auteur)

By default, ce fichier .GIF qui ressemble à contient un script, est chargé sur le serveur dans le dossier de téléchargement actuel de la chronologie. Dans les cas donnés: / Root / wp-content / uploads / 2019 / 07 /.
Une autre chose intéressante est que le fichier de base, php.php_.php7_.gif, qui a été chargé sur le serveur, ne peut pas être ouvert par un éditeur de photo. Aperçu, Photoshop ou tout autre. Au lieu de cela, thumbnailles (icônes) réalisées automatiquement par WordPress sur plusieurs dimensions, sont parfaitement fonctionnelles .gifs et peuvent être ouvertes. Un "X" noir sur fond rose.

Qu'est-ce que "php.php_.php7_.gif" et comment se débarrasser de ces fichiers suspects?

Supprimer ces fichiers le plus probable malware / virus, ce n’est pas une solution si nous nous limitons à cela. Bien sûr, php.php_.php7_.gif n'est pas un fichier WordPress légitime, ni créé par un plugin.
Sur un serveur Web, il peut être facilement identifié si nous avons Détection de Malware Linux  installée. Le processus antivirus / anti-malware de "maldet"Détecté immédiatement comme un virus du type:"{} YARA php_in_image »

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Il est fortement recommandé d’en avoir un antivirus sur le serveur Web et le mettre à jour à ce jour. En outre, l'antivirus est configuré pour surveiller en permanence les modifications apportées aux fichiers Web.
La version WordPress et tous modules (plugins) également être mis à jour. À ma connaissance, tous les sites WordPress infectés par php.php_.php7_.gif avoir comme élément commun le plugin "WP critique". Plugin qui a récemment reçu une mise à jour dans le changelog dont nous trouvons: Problème de vulnérabilité résolu.

Pour l'un des sites affectés par ce programme malveillant, la ligne suivante a été trouvée dans error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Cela me fait penser que le téléchargement de fausses images a été effectué via ce plug-in. L'erreur découle d'abord d'une erreur fastcgi PORT.
Une note importante est que ce malware / WordPress ne prend pas vraiment en compte la version de PHP sur le serveur. J'ai trouvé les deux PHP 5.6.40 et PHP 7.1.30.

L'article sera mis à jour à mesure que nous en saurons plus sur le fichier malveillant php.php_.php7_.gif présent dans Média →  Bibliothèque.

php.php_.php7_.gif - Logiciel malveillant WordPress (image Pink X dans la médiathèque)

A propos de l'auteur

infiltration

Passionné de tout gadget et informatique, j'écris avec plaisir sur la furtivitésettings.com depuis 2006 et j'aime découvrir avec vous de nouvelles choses sur les ordinateurs et les systèmes d'exploitation macOS, Linux, Windows, iOS et Android.

Laisser un commentaire