Вирус в папке tmp. - Безопасность сайтов на Joomla

Есть сайт на Joomla 2.5.28. Вчера заметил, что в папке tmp появились файлы типа: 20150623063130libs.php.vob со следующим содержанием:


Как от появился этот вирус в этой папке. Что делать, чтобы запретить его появление в будущем?
Спасибо за ответ!

Удалите все содержимое этой папки, положите в нее пустой index.html и проверьте весь сайт антивирусом и Ai-bilit.

Но в идеале у вас два решения: заплатить специалисту за аналитику вашего сайта и чистку от вирусни или заплатить специалисту и мигрировать на Joomla 3.

спасибо за советы

Прислушайтесь к ним. Ибо если сайт посещаемый, взломы будут продолжаться, так как версия 2.5 не поддерживается и имеет ряд известных уязвимостей. Кроме того, вы можете использовать бажные компоненты, так же старые и более неподдерживаемые.

Прежде, чем делать самостоятельно чистку, нужно знать о том, какие виды уязвимостей бывают и как они выглядят. Прогон через программу всех дырок может и не выявить, а уж тем более не залатает их. Специалист вам поможет, но и он не является панацеей.

Миграция позволит избавиться от всех вирусов + позволит поддерживать Joomla в актуальном состоянии.

Смотреть логи доступа хостинга, и искать шелл, с помощью которого и залили этот файл в папку.
Для начала можно и закрыть доступ, установив права 000 на /tmp

Смотреть логи доступа хостинга, и искать шелл, с помощью которого и залили этот файл в папку.
Для начала можно и закрыть доступ, установив права 000 на /tmp

логи хостинга я точно не посмотрю, так как это не мой хостинг. Поставил права на папку tmp - 705

Прислушайтесь к ним. Ибо если сайт посещаемый, взломы будут продолжаться, так как версия 2.5 не поддерживается и имеет ряд известных уязвимостей. Кроме того, вы можете использовать бажные компоненты, так же старые и более неподдерживаемые.

Прежде, чем делать самостоятельно чистку, нужно знать о том, какие виды уязвимостей бывают и как они выглядят. Прогон через программу всех дырок может и не выявить, а уж тем более не залатает их. Специалист вам поможет, но и он не является панацеей.

Миграция позволит избавиться от всех вирусов + позволит поддерживать Joomla в актуальном состоянии.

да уж, озаачи меня. Короче пока буду так, а если сильно взломают, тогда и перейду на новую версию, за одно и полностью переделаю дизайн сайта.  Денег нету платить специалисту, а самому делать много времени надо. Да и много материала на сайте...

да уж, озаачи меня...а если сильно взломают, тогда и перейду на новую версию...

Ну, хозяин-барин. Но лучше живой хозяин, чем мертвый барин. Если поисковики вас заблокируют, будет непросто отыграть позиции назад. Или хостер заблокирует, опять начнуться пляски с бубном... Так что копите на специалиста или изучайте вопрос миграции - там не так сложно и это единственное, что вы сможете попробовать сделать самостоятельно.

Прислушайтесь к ним. Ибо если сайт посещаемый, взломы будут продолжаться, так как версия 2.5 не поддерживается и имеет ряд известных уязвимостей.

Можно полюбопытствовать: каких именно уязвимостей? О них еще кому-то кроме Вас известно? Я имею в виду стандартную сборку последней версии ветки 2.5, без сторонних компонентов и модификаций.

Положите в /tmp файлик с содержимым:

deny from all

но по сути раз залились в эту папку, значит смогут залиться и в другую...

да вы фигню какую-то пишите, скорее всего или хост уязвим или у вас в папках сайта вирус, который или обновляет(добавляет) в папку что-то или ещё что-то мутит.
тут права ничего не сделают, не может со стороны при норм.движке и хосте такое быть.

ТС 1-проверьте всё на вирусы.
2-вспомните(или посмотрите по ID) что вы последнее ставили и особенно вспомните, с чего и когда началось
3-бекап системы, если дату вспомните и бекап есть(хост 30 дней хранит)
4.самое главное-не качайте варез, а если качаете, не просто "работает, ну и хорошо", а проверяйте все файлы!
ну и 5, если найдёте причину-тут уже ветка событий расширенна!

да вы фигню какую-то пишите, скорее всего или хост уязвим или у вас в папках сайта вирус, который или обновляет(добавляет) в папку что-то или ещё что-то мутит

Вот код того, что ТС привел в первом посте. Даже при беглом просмотре видно, что это и для каких целей. Даже форму стилизовали ))


С помощью этой штуки извне можно получить полный контроль над сайтом и базой.

P.S. Вот вам тема с блокбастером, почитайте.

Коллега, Вы мой вопрос сознательно проигнорировали? Нечего ответить? Вы о чем писали тут:

версия 2.5 имеет ряд известных уязвимостей.

Лично мне не известно о таких уязвимостях в Joomla 2.5 применительно к данной теме (что всем надо срочно обновляться до 3 ветки).
И многим, думаю, было бы интересно о них узнать. А то многие тут сидят еще на 2.5.28 и ничего...
Либо я не знаю, либо Вы не знаете, о чем пишете - одно из двух.
Так о чем речь все-таки? О каких таких известных уязвимостях?

Коллега, Вы мой вопрос сознательно проигнорировали? Нечего ответить? Вы о чем писали тут:Лично мне не известно о таких уязвимостях в Joomla 2.5 применительно к данной теме (что всем надо срочно обновляться до 3 ветки).
И многим, думаю, было бы интересно о них узнать. А то многие тут сидят еще на 2.5.28 и ничего...
Либо я не знаю, либо Вы не знаете, о чем пишете - одно из двух.
Так о чем речь все-таки? О каких таких известных уязвимостях?

Кому было бы интересно, уже вкурсе, а кому не интересно, уже выгребают шелы со своих движков, в качестве примера http://joomlaforum.ru/index.php/topic,304248.msg1511130.html#msg1511130 а за дольней шим лезте на баг трек


P.S:Вот тут можно отслеживать самую горячию инфу по уязвимостям в Сore http://developer.joomla.org/security-centre.html

20150623063130libs.php.vob

если это время создания файла, то можно глянуть логи по горячим следам.

Видимо тоже не в теме.
@winstrool  & @SeBun если взломаете версию 2.5.28 поделитесь эксплойтом

Видимо тоже не в теме.
@winstrool  & @SeBun если взломаете версию 2.5.28 поделитесь эксплойтом

Такими вещами не делятся)), и стоят несколько $$, так что не выгодно, могу акибу продать, но она тебе нахер не нужна 

дешевле найти, точнее узнать расширения, найти уязвивость и бой)))
а потом суппорту расширения, мол я взломал, дайте бабло, покажу как.
и ждём обнову новую расширения 

дешевле найти, точнее узнать расширения, найти уязвивость и бой)))
а потом суппорту расширения, мол я взломал, дайте бабло, покажу как.
и ждём обнову новую расширения 

Не однократно находились баги на таких порталах как VK, mail, yandex больше 100$ не дают, редко чуть больше, а при монетизации можно выручить в десятки раз больше...

а вы потихоньку по 100$ собирайте и подготавливайтесь к монетизации 

Кому было бы интересно, уже вкурсе, а кому не интересно, уже выгребают шелы со своих движков...

Короче пустая болтовня для придания себе значимости.

— Я лично все деньги потратила на научные книги.
— Да?! А кассетный магнитофон кто привёз?
— Вы его видели?
— Видела!
— Вы его слышали?
— Слышала!
— Вы его включали?
— Да!

ecolora прав,почти как обычно)
(с)=Кто как хочет, так и дро.......А я дро...., как я хочу.
***
По делу-я попробовал написать ответ(точнее написал), но потом тему в флейм перевели(сделали), ну и продолжил.
***
ecolora, только чото в цитату я не въехал...или фильм не смотрел....наверно не проснулся ещё или юмор не для моего серого в-ства.

Такими вещами не делятся)), и стоят несколько $$, так что не выгодно, могу акибу продать, но она тебе нахер не нужна 

Ценовой политикой владею, вот только нету в 2.5.28 той уязвимости, как раз в ней её закрыли.

Коллега, Вы мой вопрос сознательно проигнорировали? Нечего ответить? Вы о чем писали тут:Лично мне не известно о таких уязвимостях в Joomla 2.5 применительно к данной теме (что всем надо срочно обновляться до 3 ветки).
И многим, думаю, было бы интересно о них узнать. А то многие тут сидят еще на 2.5.28 и ничего...

Начну с конца. Во первых, не у всех стоит 2.5.28, многие сидят еще на 1.5, а некоторые и на 1.0. Посему я им однозначно советую обновиться на 3.4, что бы поддерживать систему в актуальном состоянии. Вам, конечно, известно, что основная доля взломов приходится не на ядро, а на кривые компоненты, установленные в системе. Взять того же Акебу, через который можно свободно залить шелл (я знаю точно, что в нем есть дырка в версии для 2.5). А Акеба стоит на каждом втором сайте. Делайте выводы. В ядре 2.5.28 исправлено более 20 ошибок от версии 2.5.27, больше их там никто не искал, эту версию прекратили поддерживать. А кому надо нашли еще кучу уязвимостей плюс юзают дырки от предыдущих релизов, о которых широкой публике неизвестно, winstrool об этом вам правильно сказал, на этом зарабатывают деньги и делиться не будут. Ну и чисто технический момент: поскольку ветка не поддерживается, кто потом будет ошибки исправлять, даже если о них станет известно? Сообщество любителей 2.5? Не лучше ли перейти на 3.4 и получать обновления в штатном режиме? Имхо.

вот чего вы развели..... вы уверены, что тема вас достойна?....я отвечаю, ради флуда в теме, но вы же можете понять смысл?

Начну с конца...

Ну так Вы же написали совсем о другом изначально. Вам обрисовали версию 2.5.28, Вы написали о каких-то "известных" (только Вам уязвимостях)? Я же не спорю с тем, что Вы сказали только что, а вот изначально было путое....
Так что не пишите. если не знаете. Чтобы не выглядеть глупо.

это вы кому?Сергею?
***
моё предложение, давайте прекратим в теме меряться.... и не спорить, а то чувствую спор на личное перейдет.
а это никому не нужно!

...и не спорить, а то чувствую спор на личное перейдет.
а это никому не нужно!

Не перейдет. Я прекрасно знаю, кто такой ecolora, хоть и не пересекались доселе. Каждый вертится в своей области, у каждого свои данные и знания. И он со мной не спорит, как и я с ним. Кроме одного вопроса - наличие уязвимостей в 2.5.28. Он считает, что их нет. Товарищ winstrool, который является авторитетным жителем Античата с 2007 года (а с 2013-го стал известен и на этом сайте) и знает об уязвимостях не по наслышке, уже все сказал, мне добавить нечего. Даже на "выглядеть глупо". Все, закрыли тему.

если взломаете версию 2.5.28 поделитесь эксплойтом

ищи в теме!
http://developer.joomla.org/security-centre.html?limitstart=0

[20140902] - Core - Unauthorised Logins
Versions: 2.5.24 and earlier 2.5.x versions, 3.2.4 and earlier 3.x versions, 3.3.0 through 3.3.3

При использование техники СИ
[20140303] - Core - XSS Vulnerability
Versions: 2.5.18 and earlier 2.5.x versions, 3.2.2 and earlier 3.x versions

опять же:
[20140304] - Core - Unauthorised Logins
Versions: 2.5.18 and earlier 2.5.x versions, 3.2.2 and earlier 3.x versions

тут парочку пропущу оналогичных...
....
________________

вот еще интиресная:
[20130801] - Core - Unauthorised Uploads
Versions: 2.5.13 and earlier 2.5.x versions. 3.1.4 and earlier 3.x versions.

P.S: flyingspook если вы не поподали под раздачу или ваши заказчики на версии joomla 2.5.28, это не значит, что она не уязвима, Уязвимо все, дело времени опыта и техники...

на версии joomla 2.5.28, это не значит, что она не уязвима, Уязвимо все, дело времени опыта и техники...

Из этого следует что, те версии что еще и не выпустили тоже уязвимы. 
По существу Вы так и ни чего не сказали про заключительную линейки 2.5 именно версию 2.5.28.
Как взломаете её так расскажете и разработчику тоже в баг трекер киньте информацию. Воздух не разгоняйте.
Давайте не разводить в топиках флуд и писать по существу. Время советов тупого мигрирования прошло 3 года назад, и если предлагать, то при анализе сайта при работе над чисткой и устранением, и только если это неизбежно.
Сайтов множество который работают и на 1.0 и на 1.5 и на 2.5 и с ними все нормально и это из опыта не из "пустозвонства". Движок ни как не относится к сторонним расширениям.
Если разработчики сейчас намерено делают уязвимые места для себя(и по просьбе) и потом их находит общество и тогда узнав разработчики их сами и закрывают, то где гарантия что они их просто не переносят в другое место. Все уязвимые места ищут сейчас при помощи ПО которое в доступе для всех типа "хакеров". Сами же профи уже давно управляют цифровым миром, угоняют самолеты, и ломают военные структуры, и ни кому из них не придет в голову ломать CMS и монитизировать трафик, это удел школоты.

P.s. давайте не разводить флуд, и писать по существу, помогая ТС, и не пугая остальных разным "бредом", тему читают много народу и у многих может возникнуть вопрос после прочтения, а информация окажется не достоверной