В корне сайта появляется файл с именем ".bt" (без ковычек)

  • 24 Ответов
  • 2076 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

maestra

  • Осваиваюсь на форуме
  • ***
  • 80
  • 5
Доброго дня жумлаводы.

Такая ситуация. В корне сайта появляется файл с именем .bt содержащий список IP (по одному в строке). При удалении этого файла он опять появляется в течении нескольких секунд.
Думал, что это проявление вирусного заражения - файлы сайта проверил на вирусы (скачал все файлы и проверил антивирусом локально) - ничего нет. Проверил встроенным антивирусом хостера - заражений нет.
Обратился в техподдержку хостера - походу они тоже не в курсе.

Может кто знает о природе файла ".bt" ? Связано это с заражением или внутренним компонентом Joomla?
Я бы может особо и не парился, но сайт периодически становится сложнодоступным (впечатление, что досят, но судя по логам - нет)...

Установлена стандартная Joomla 3.4.8 + Jcomments + JoomGallery + JCEEditor (все обновлено до последних версий).

Спойлер
[свернуть]
« Последнее редактирование: 24.02.2016, 16:22:39 от maestra »

*

Филипп Сорокин

  • Практически профи
  • *******
  • 1780
  • 135
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Вообще похоже на клоакинг, закройте ту директорию куда он пишется и смотрите error логи, там должна будет появиться ошибка, типо не могу создать/записать файл и на скрипт который вызывает ошибку, от туда и отталкивайтесь.

Также пройдитесь по сайту на дату последнего inode и смотрите по изменениям...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

maestra

  • Осваиваюсь на форуме
  • ***
  • 80
  • 5
Вообще похоже на клоакинг, закройте ту директорию куда он пишется
Он пишется в корень сайта ... :(

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Он пишется в корень сайта ... :(
И в чем проблема?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям


*

maestra

  • Осваиваюсь на форуме
  • ***
  • 80
  • 5
Кроме этого сайта есть еще сайты на этом аккаунте хостинга?
нет

На .bt поставил 444 на корневую папку с сайтом 555. Пока в логах относительно "не могу записать файл" ничего нет. Жду.
Но в логах есть такая строка (много строк):

Код
[Thu Feb 25 14:45:29 2016] [error] [client 68.180.228.223] PHP Warning: file_get_contents(http://woothemewp.com/lnk/tuktuk.php?d=XXXX.ru%2Finformatsiya-vnimanie-rabota.html&ip=68.180.228.223&ua=Mozilla%2F5.0+%28compatible%3B+Yahoo%21+Slurp%3B+http%3A%2F%2Fhelp.yahoo.com%2Fhelp%2Fus%2Fysearch%2Fslurp%29): failed to open stream: HTTP request failed! in /home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php on line 8

Файла "/home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php" визуально нет.

И тоже самое для файла /home/users/c/XXXX/domains/XXXX.ru/frmtmp.php - его тоже визуально нет
« Последнее редактирование: 25.02.2016, 16:51:59 от maestra »

*

flyingspook

  • Moderator
  • *****
  • 3609
  • 236
Если сами не можете посмотреть спросите у ТП хостинга от куда появляется файл.
Какие установлены плагины и расширения? весь список покажите.
в htaccess запрет на обращение к файлу пропишите будет ошибка и увидите кто к нему обращается в логах
Код
<Files .bt>
 order allow,deny
 deny from all
 </Files>

Можете плагин поставить он на почту отправляет изменения файлов на сайте.
« Последнее редактирование: 25.02.2016, 16:56:32 от flyingspook »

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
нет

На .bt поставил 444 на корневую папку с сайтом 555. Пока в логах относительно "не могу записать файл" ничего нет. Жду.
Но в логах есть такая строка (много строк):

Код
[Thu Feb 25 14:45:29 2016] [error] [client 68.180.228.223] PHP Warning: file_get_contents(http://woothemewp.com/lnk/tuktuk.php?d=XXXX.ru%2Finformatsiya-vnimanie-rabota.html&amp;ip=68.180.228.223&amp;ua=Mozilla%2F5.0+%28compatible%3B+Yahoo%21+Slurp%3B+http%3A%2F%2Fhelp.yahoo.com%2Fhelp%2Fus%2Fysearch%2Fslurp%29): failed to open stream: HTTP request failed! in /home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php on line 8

Файла "/home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php" визуально нет.

И тоже самое для файла /home/users/c/XXXX/domains/XXXX.ru/frmtmp.php - его тоже визуально нет

Вообщем тут суть ясна, а то что он там появляется так может он времена появляется для сбора нужных данных и исчизает, в полне логично, с ним тоже такой же маневр провести можно.
Если сами не можете посмотреть спросите у ТП хостинга от куда появляется файл.
Какие установлены плагины и расширения? весь список покажите.
в htaccess запрет на обращение к файлу пропишите будет ошибка и увидите кто к нему обращается в логах
Код
<Files .bt>
 order allow,deny
 deny from all
 </Files>

Можете плагин поставить он на почту отправляет изменения файлов на сайте.

Думаю это врятли поможет, там вся манипуляция на уровне файлов устроена, а не из веба
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
На .bt поставил 444 на корневую папку с сайтом 555. Пока в логах относительно "не могу записать файл" ничего нет. Жду.

.bt надо вообще удалить!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

maestra

  • Осваиваюсь на форуме
  • ***
  • 80
  • 5
.bt надо вообще удалить!
удаляю - он появляется снова

ТП хостера написал еще утром - пока разбираются, но решения еще нет

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
удаляю - он появляется снова

ТП хостера написал еще утром - пока разбираются, но решения еще нет

Ну я ХЗ, как вы там все это делайте и что за ТП такая, что еще разбирается...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Missile

  • Завсегдатай
  • *****
  • 792
  • 79
Странно как-то, я погуглила - это вирусня для WordPress.


*

maestra

  • Осваиваюсь на форуме
  • ***
  • 80
  • 5
Странно как-то, я погуглила - это вирусня для WordPress.
Можно ссылку? А то я нашел единственное упоминание для вируса под винду...

*

Missile

  • Завсегдатай
  • *****
  • 792
  • 79
Можно ссылку? А то я нашел единственное упоминание для вируса под винду...
https://toster.ru/q/275714
https://nl.forums.wordpress.org/topic/wordpress-dashboard-bug
http://wordpressvirusremoval.com/blog/frmtmp-php/
Просто ни одного упоминания о Joomla по запросу "frmtmp.php", только WordPress.

Сделала запрос "lnk/tuktuk.php" - вылезла куча сайтов на WordPress. Ищите, где-то сидит троян, закодированный через base64_decode. Вероятнее всего - в шаблоне.
« Последнее редактирование: 27.02.2016, 08:21:30 от Missile »


*

aquariusbl

  • Новичок
  • *
  • 1
  • 0
Привет! Интересно, если вы решить эту проблему, потому что у меня слишком. Я попробовал все, но по-прежнему подавать декларации. В противном случае я не говорю по-русски, но сербский язык.

Доброго дня жумлаводы.

Такая ситуация. В корне сайта появляется файл с именем .bt содержащий список IP (по одному в строке). При удалении этого файла он опять появляется в течении нескольких секунд.
Думал, что это проявление вирусного заражения - файлы сайта проверил на вирусы (скачал все файлы и проверил антивирусом локально) - ничего нет. Проверил встроенным антивирусом хостера - заражений нет.
Обратился в техподдержку хостера - походу они тоже не в курсе.

Может кто знает о природе файла ".bt" ? Связано это с заражением или внутренним компонентом Joomla?
Я бы может особо и не парился, но сайт периодически становится сложнодоступным (впечатление, что досят, но судя по логам - нет)...

Установлена стандартная Joomla 3.4.8 + Jcomments + JoomGallery + JCEEditor (все обновлено до последних версий).

Спойлер
[свернуть]


*

igorsuccess

  • Осваиваюсь на форуме
  • ***
  • 51
  • 0
У меня такой же файл появляется и после удаления снова и снова. Кстати и содержание файла точно такое же. К;то разоборался - как и чем нашел и вылечил заразу, откуда подгружается все?

*

anryy

  • Захожу иногда
  • **
  • 12
  • 0
Имею на одной площадке хостинга сайты на Joomla, Wordpressе, Друпале и Opencart. После удаления файлов с зашифрованными скриптами по base64, файл .bt появляется только в Друпале и Opencart. Причем, появляется не в корне, а в первой папке по алфавиту. У меня появлялся в папке "cgi-bin". Я для эксперимента создал папку с названием "01". Он прописался туда. Ограничение прав на запись в 400 или в 000 не дает ему обновляться, но выявить окончательно заразу так и не удалось ни по логам, ни сканированием сайтов. При активизации скрипта резко увеличивается нагрузка на процессор веб сервера.

*

voland

  • Профи
  • ********
  • 9365
  • 421
  • СКАЙП утерян! Пишите в телеграм @volandku
Имею на одной площадке хостинга сайты на Joomla, Wordpressе, Друпале и Opencart. После удаления файлов с зашифрованными скриптами по base64, файл .bt появляется только в Друпале и Opencart. Причем, появляется не в корне, а в первой папке по алфавиту. У меня появлялся в папке "cgi-bin". Я для эксперимента создал папку с названием "01". Он прописался туда. Ограничение прав на запись в 400 или в 000 не дает ему обновляться, но выявить окончательно заразу так и не удалось ни по логам, ни сканированием сайтов. При активизации скрипта резко увеличивается нагрузка на процессор веб сервера.
Лечить надо. Всю площадку.

*

SeBun

  • Практически профи
  • *******
  • 3076
  • 186
  • @SeBun48
Ограничение прав на запись в 400 или в 000 не дает ему обновляться, но выявить окончательно заразу так и не удалось ни по логам, ни сканированием сайтов.
В логах апача по всем сайтам смотрите, есть ли ошибки доступа на запись?
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование | Разработка
Ник занят

*

flyingspook

  • Moderator
  • *****
  • 3609
  • 236
Не логи ни чего не поможет, ищите обфусицированный код его подключения. Любой сканер покажет его, просто понять и увидеть надо открыв все файлы на которые укажет сканер и знать хоть немного php, и сразу увидите его. То что вы запрещаете запись на папку это не значит что он не пишется в другую папку))), если ограничение на нем то он не перезаписывается.
Вообще это одно из оригинальных заражений, иногда сайты начинают тормозить загружаясь (по 10-15мин. страница) из-за падения сервера с отдачей информации для записи этого файла.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям