Aller au contenu

WordPress Malware php.php_.php7_.gif

malware-php7_.gif

Si vous avez le plugin wp review installé sur votre wordpress, une faille de sécurité a permis d’uploader des fichiers du style php.php_.php7_.gif dans votre dossier uploads.

Malware wordpress php.php_.php7_.gif

Le ou les fichiers s’appellent php.php_.php7_.gif,. Chaque fichier a les mêmes propriétés partout. Ce fichier n’a pas été téléchargé par un utilisateur / auteur spécifique.  » Téléchargé par: (aucun auteur) « .

Nom du fichier: php.php_.php7_.gif
Type de fichier: image / gif
Dimensions: 300 x 300 pixels
Titre : php.php_.php7_
Téléchargé par : (aucun auteur)

Par défaut, ce fichier .GIF, qui semble contenir un script , est chargé sur le serveur dans le dossier de uploads. Dans les cas donnés: / root / wp-content / uploads / 2019/07 / .
Une autre chose intéressante est que le fichier de base, php.php_.php7_.gif, qui a été chargé sur le serveur, ne peut pas être ouvert par un éditeur de photo : aperçu, Photoshop ou tout autre.

Au lieu de cela, les icônes créés automatiquement par WordPress sur plusieurs tailles fonctionnent parfaitement. Gifs et peuvent être ouvertes. Un « X » noir sur fond rose.

Qu’est-ce que « php.php_.php7_.gif » et comment pouvons-nous nous débarrasser de ces fichiers suspects

Supprimer ces fichiers malveillants / virus est indispensable. Mais il ne faut pas que nous nous limitons à cela. Il faut effacer les fichiers php.php_.php7_.gif voa le ftp ou le gestionnaire de fichiers car ce n’est pas un fichier WordPress légitime.
Sur un serveur Web, il peut être facilement identifié en faisant une recherche avec le nom du fichier soit en allant dans le répertoire uploads et le mois de juillet 2019.

Mettez à jour le plugin wp review afin que des fichiers compromis ne soient à nouveau installés sur votre serveur.

Antivirus

Il est fortement recommandé de disposer d’un antivirus sur le serveur Web et de le mettre à jour . En outre, l’antivirus est configuré pour surveiller en permanence les modifications apportées aux fichiers Web.
La version WordPress et tous les plugins sont également mis à jour . Tous les sites WordPress qui ont le fichier  php.php_.php7_.gif ont comme élément commun le plug-in  » WP Review « . Le plugin qui vient de recevoir une mise à jour dans le journal des modifications contient: Problème de vulnérabilité résolu .

Pour l’un des sites affectés par ce programme malveillant, la ligne suivante a été trouvée dans error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: « PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36 » while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: « GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1 », upstream: « fastcgi://127.0.0.1:9000 », host: « website.tld », referrer: « website.tld »

Le téléchargement de fausses images a probablement été effectué via ce plug-in. L’erreur découle d’abord d’une erreur fastcgi PORT.
Ce malware / WordPress ne prend pas vraiment en compte la version de PHP sur le serveur. Je l’ai trouvé à la fois sur PHP 5.6.40 et sur PHP 7.1.30 .