Форум русской поддержки Joomla!® CMS
03.12.2016, 00:03:35 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

В корне сайта появляется файл с именем ".bt" (без ковычек)

 (Прочитано 1213 раз)
0 Пользователей и 1 Гость смотрят эту тему.
maestra
Осваиваюсь на форуме
***

Репутация: +6/-1
Offline Offline

Пол: Мужской
Сообщений: 82



« : 24.02.2016, 15:18:32 »

Доброго дня жумлаводы.

Такая ситуация. В корне сайта появляется файл с именем .bt содержащий список IP (по одному в строке). При удалении этого файла он опять появляется в течении нескольких секунд.
Думал, что это проявление вирусного заражения - файлы сайта проверил на вирусы (скачал все файлы и проверил антивирусом локально) - ничего нет. Проверил встроенным антивирусом хостера - заражений нет.
Обратился в техподдержку хостера - походу они тоже не в курсе.

Может кто знает о природе файла ".bt" ? Связано это с заражением или внутренним компонентом Joomla?
Я бы может особо и не парился, но сайт периодически становится сложнодоступным (впечатление, что досят, но судя по логам - нет)...

Установлена стандартная Joomla 3.4.8 + Jcomments + JoomGallery + JCEEditor (все обновлено до последних версий).

Показать текстовый блок
« Последнее редактирование: 24.02.2016, 15:22:39 от maestra » Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1433


« Ответ #1 : 24.02.2016, 15:27:40 »

Вирус
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #2 : 24.02.2016, 15:38:51 »

Вообще похоже на клоакинг, закройте ту директорию куда он пишется и смотрите error логи, там должна будет появиться ошибка, типо не могу создать/записать файл и на скрипт который вызывает ошибку, от туда и отталкивайтесь.

Также пройдитесь по сайту на дату последнего inode и смотрите по изменениям...
Записан
maestra
Осваиваюсь на форуме
***

Репутация: +6/-1
Offline Offline

Пол: Мужской
Сообщений: 82



« Ответ #3 : 25.02.2016, 15:01:32 »

Вообще похоже на клоакинг, закройте ту директорию куда он пишется
Он пишется в корень сайта ... Sad
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #4 : 25.02.2016, 15:19:31 »

Он пишется в корень сайта ... Sad
И в чем проблема?
Записан
wishlight
Профи
********

Репутация: +200/-1
Online Online

Пол: Мужской
Сообщений: 3474


skype aqaus.com


« Ответ #5 : 25.02.2016, 15:28:25 »

Кроме этого сайта есть еще сайты на этом аккаунте хостинга?
Записан
maestra
Осваиваюсь на форуме
***

Репутация: +6/-1
Offline Offline

Пол: Мужской
Сообщений: 82



« Ответ #6 : 25.02.2016, 15:42:13 »

Кроме этого сайта есть еще сайты на этом аккаунте хостинга?
нет

На .bt поставил 444 на корневую папку с сайтом 555. Пока в логах относительно "не могу записать файл" ничего нет. Жду.
Но в логах есть такая строка (много строк):

Код:
[Thu Feb 25 14:45:29 2016] [error] [client 68.180.228.223] PHP Warning: file_get_contents(http://woothemewp.com/lnk/tuktuk.php?d=XXXX.ru%2Finformatsiya-vnimanie-rabota.html&ip=68.180.228.223&ua=Mozilla%2F5.0+%28compatible%3B+Yahoo%21+Slurp%3B+http%3A%2F%2Fhelp.yahoo.com%2Fhelp%2Fus%2Fysearch%2Fslurp%29): failed to open stream: HTTP request failed! in /home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php on line 8

Файла "/home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php" визуально нет.

И тоже самое для файла /home/users/c/XXXX/domains/XXXX.ru/frmtmp.php - его тоже визуально нет
« Последнее редактирование: 25.02.2016, 15:51:59 от maestra » Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #7 : 25.02.2016, 15:52:42 »

Если сами не можете посмотреть спросите у ТП хостинга от куда появляется файл.
Какие установлены плагины и расширения? весь список покажите.
в htaccess запрет на обращение к файлу пропишите будет ошибка и увидите кто к нему обращается в логах
Код:
<Files .bt>
 order allow,deny
 deny from all
 </Files>

Можете плагин поставить он на почту отправляет изменения файлов на сайте.
« Последнее редактирование: 25.02.2016, 15:56:32 от flyingspook » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #8 : 25.02.2016, 16:21:08 »

нет

На .bt поставил 444 на корневую папку с сайтом 555. Пока в логах относительно "не могу записать файл" ничего нет. Жду.
Но в логах есть такая строка (много строк):

Код:
[Thu Feb 25 14:45:29 2016] [error] [client 68.180.228.223] PHP Warning: file_get_contents(http://woothemewp.com/lnk/tuktuk.php?d=XXXX.ru%2Finformatsiya-vnimanie-rabota.html&amp;ip=68.180.228.223&amp;ua=Mozilla%2F5.0+%28compatible%3B+Yahoo%21+Slurp%3B+http%3A%2F%2Fhelp.yahoo.com%2Fhelp%2Fus%2Fysearch%2Fslurp%29): failed to open stream: HTTP request failed! in /home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php on line 8

Файла "/home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php" визуально нет.

И тоже самое для файла /home/users/c/XXXX/domains/XXXX.ru/frmtmp.php - его тоже визуально нет

Вообщем тут суть ясна, а то что он там появляется так может он времена появляется для сбора нужных данных и исчизает, в полне логично, с ним тоже такой же маневр провести можно.
Если сами не можете посмотреть спросите у ТП хостинга от куда появляется файл.
Какие установлены плагины и расширения? весь список покажите.
в htaccess запрет на обращение к файлу пропишите будет ошибка и увидите кто к нему обращается в логах
Код:
<Files .bt>
 order allow,deny
 deny from all
 </Files>

Можете плагин поставить он на почту отправляет изменения файлов на сайте.

Думаю это врятли поможет, там вся манипуляция на уровне файлов устроена, а не из веба
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #9 : 25.02.2016, 18:04:12 »

На .bt поставил 444 на корневую папку с сайтом 555. Пока в логах относительно "не могу записать файл" ничего нет. Жду.

.bt надо вообще удалить!
Записан
maestra
Осваиваюсь на форуме
***

Репутация: +6/-1
Offline Offline

Пол: Мужской
Сообщений: 82



« Ответ #10 : 25.02.2016, 18:53:23 »

.bt надо вообще удалить!
удаляю - он появляется снова

ТП хостера написал еще утром - пока разбираются, но решения еще нет
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #11 : 25.02.2016, 20:06:32 »

удаляю - он появляется снова

ТП хостера написал еще утром - пока разбираются, но решения еще нет

Ну я ХЗ, как вы там все это делайте и что за ТП такая, что еще разбирается...
Записан
Missile
Завсегдатай
*****

Репутация: +70/-0
Offline Offline

Пол: Женский
Сообщений: 681


« Ответ #12 : 25.02.2016, 20:34:08 »

Странно как-то, я погуглила - это вирусня для WordPress.
Записан
wishlight
Профи
********

Репутация: +200/-1
Online Online

Пол: Мужской
Сообщений: 3474


skype aqaus.com


« Ответ #13 : 25.02.2016, 21:04:00 »

Это вирусня под что угодно. 100% ai-bolit хоть что то найдет.
Записан
maestra
Осваиваюсь на форуме
***

Репутация: +6/-1
Offline Offline

Пол: Мужской
Сообщений: 82



« Ответ #14 : 26.02.2016, 21:49:04 »

Странно как-то, я погуглила - это вирусня для WordPress.
Можно ссылку? А то я нашел единственное упоминание для вируса под винду...
Записан
Missile
Завсегдатай
*****

Репутация: +70/-0
Offline Offline

Пол: Женский
Сообщений: 681


« Ответ #15 : 27.02.2016, 07:08:03 »

Можно ссылку? А то я нашел единственное упоминание для вируса под винду...
https://toster.ru/q/275714
https://nl.forums.wordpress.org/topic/wordpress-dashboard-bug
http://wordpressvirusremoval.com/blog/frmtmp-php/
Просто ни одного упоминания о Joomla по запросу "frmtmp.php", только WordPress.

Сделала запрос "lnk/tuktuk.php" - вылезла куча сайтов на WordPress. Ищите, где-то сидит троян, закодированный через base64_decode. Вероятнее всего - в шаблоне.
« Последнее редактирование: 27.02.2016, 07:21:30 от Missile » Записан
wishlight
Профи
********

Репутация: +200/-1
Online Online

Пол: Мужской
Сообщений: 3474


skype aqaus.com


« Ответ #16 : 27.02.2016, 11:48:40 »

Это уже загруженный вредоносный код и без разницы на каком движке.
Записан
aquariusbl
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 1


« Ответ #17 : 15.03.2016, 04:29:23 »

Привет! Интересно, если вы решить эту проблему, потому что у меня слишком. Я попробовал все, но по-прежнему подавать декларации. В противном случае я не говорю по-русски, но сербский язык.

Доброго дня жумлаводы.

Такая ситуация. В корне сайта появляется файл с именем .bt содержащий список IP (по одному в строке). При удалении этого файла он опять появляется в течении нескольких секунд.
Думал, что это проявление вирусного заражения - файлы сайта проверил на вирусы (скачал все файлы и проверил антивирусом локально) - ничего нет. Проверил встроенным антивирусом хостера - заражений нет.
Обратился в техподдержку хостера - походу они тоже не в курсе.

Может кто знает о природе файла ".bt" ? Связано это с заражением или внутренним компонентом Joomla?
Я бы может особо и не парился, но сайт периодически становится сложнодоступным (впечатление, что досят, но судя по логам - нет)...

Установлена стандартная Joomla 3.4.8 + Jcomments + JoomGallery + JCEEditor (все обновлено до последних версий).

Показать текстовый блок
Записан
wishlight
Профи
********

Репутация: +200/-1
Online Online

Пол: Мужской
Сообщений: 3474


skype aqaus.com


« Ответ #18 : 15.03.2016, 10:35:35 »

Сайты надо вовремя обновлять. Чтобы почистить зараженный сайт можно использовать скрипт https://www.revisium.com/ai/ .

Показать текстовый блок
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet