php.php_.php7_.gif - WordPress Malware (Image Pink X dans la médiathèque)

Une chose étrange m'a récemment été rapportée sur plusieurs sites avec WordPress.

Données du problème php.php_.php7_.gif

L'apparence mystérieuse d'un .gif images avec un "X" noir sur fond rose. Dans tous les cas, le fichier a été nommé "php.php_.php7_.gif", Ayant les mêmes propriétés partout. La partie intéressante est que ce fichier n'a pas été téléchargé par un utilisateur / auteur spécifique. "Téléchargé par: (aucun auteur)».

Nom du fichier: php.php_.php7_.gif
Type de fichier: image / gif
Téléchargé sur: 11 juillet 2019
Taille du fichier:
Dimensions: 300 par 300 pixels
Titre: php.php_.php7_
Téléchargé par: (aucun auteur)

Par défaut, ce fichier .GIF semble être un fichier. contient un script, est chargé sur le serveur dans le dossier de téléchargement actuel de la chronologie. Dans les cas donnés: / Root / wp-content / uploads / 2019 / 07 /.
Une autre chose intéressante est que le fichier de base, php.php_.php7_.gif, qui a été chargé sur le serveur, ne peut pas être ouvert par un éditeur de photo. Aperçu, Photoshop ou tout autre. Au lieu de cela, thumbnail(icônes) créés automatiquement par WordPress sur plusieurs tailles, fonctionnent parfaitement. gifs et peuvent être ouverts. Un "X" noir sur fond rose.

Qu'est-ce que "php.php_.php7_.gif" et comment pouvons-nous nous débarrasser de ces fichiers suspects

Supprimer ces fichiers le plus probable malware / virus, ce n’est pas une solution si nous nous limitons à cela. Bien sûr, php.php_.php7_.gif n'est pas un fichier WordPress légitime, ni créé par un plugin.
Sur un serveur Web, il peut être facilement identifié si nous avons Détection de Malware Linux installé. Le processus anti-virus / anti-malware de "maldet"Immédiatement détecté comme virus de type:"{} YARA php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Il est fortement recommandé d’en avoir un antivirus sur le serveur Web et le mettre à jour à ce jour. En outre, l'antivirus est configuré pour surveiller en permanence les modifications apportées aux fichiers Web.
La version WordPress et tous modules (plugins) également être mis à jour. À ma connaissance, tous les sites WordPress infectés par php.php_.php7_.gif avoir comme élément de plugin commun "WP critique». Plugin qui vient de recevoir une mise à jour dans le journal des modifications, nous trouvons: Problème de vulnérabilité résolu.

Pour l'un des sites affectés par ce programme malveillant, la ligne suivante a été trouvée dans error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Cela me fait penser que le téléchargement de fausses images a été effectué via ce plug-in. L'erreur découle d'abord d'une erreur fastcgi PORT.
Une note importante est que ce malware / WordPress ne prend pas vraiment en compte la version de PHP sur le serveur. J'ai trouvé les deux PHP 5.6.40 et PHP 7.1.30.

L'article sera mis à jour à mesure que nous en saurons plus sur le fichier malveillant php.php_.php7_.gif présent dans MédiaBibliothèque.

php.php_.php7_.gif - WordPress Malware (Image Pink X dans la médiathèque)

A propos de l'auteur

infiltration

Passionné par tout ce qui concerne les gadgets et l'informatique, je suis heureux d'écrire sur stealthsettings.com de 2006 et j'aime découvrir de nouvelles choses sur les ordinateurs et MacOS, les systèmes d'exploitation Linux, Windows, iOS et Android.

Laisser un commentaire