Вирус в папке tmp. - страница 2 - Безопасность сайтов на Joomla

а как и куда перенести папку /tmp? Или просто переименовть её? И содать папку типа:  /hsphere/local/home/user/сайт.net/tmp356 и прописать путь в панели управления на эту папку.

deny from all

А я вот с таким содержанием? Покатит? -

Код

RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
<Files ~ ".(php)$">
Deny from all
</Files>

закрыть папку /tmp полностью установив права 000?

да не получается у меня с deny from all - всё равно заливают туда ненужные файлы! Помогите!

Суть не в том что они заливаются!, суть в том что они не смогут выполняться по назначению!

да не получается у меня с deny from all - всё равно заливают туда ненужные файлы! Помогите!

И правильно. Я же написал, не через папку вас взломали. У вас залит код в другие скрипты, которые имеют права на исполнение и запись.

Что могу посоветовать: с вашим уровнем знаний лучше обратиться к специалистам, я об этом писал в самом начале и детально все разжевал. Жалко денег - осваивайте айболит. Там всего несколько файлов в корень положить, выставить в 20-й строке исполняемого файла свой пароль и запустить. Но после того, как сканер отработает и выведет кучу красных строк, нужно понимать, что в этих строках написано. Вы знакомы с PHP? А JS? Нет? Тогда как вы собираетесь защищать свой сайт от атак хакеров? Это Виндовские антивирусы умеют лечить файлы, а сайтовые сканеры сами код править не умеют, это должен делать грамотный специалист. И даже если RSFirewall поставите, сайт так и останется взломанным, потому как код уже залит.

Опять же, вернусь к своим первым постам - я говорил про миграцию на 3.4. И не потому, ято сам зарабатываю на переносе сайтов, я много на чем зарабатываю. А потому, что ветка 1.5 дырявая как друшлаг, и вы так можете без конца вычищать шеллы. Это как сидеть в море и вычерпывать из него воду, выливая в море.

И даже если RSFirewall поставите, сайт так и останется взломанным, потому как код уже залит.

Опять же, вернусь к своим первым постам - я говорил про миграцию на 3.4. И не потому, ято сам зарабатываю на переносе сайтов, я много на чем зарабатываю. А потому, что ветка 1.5 дырявая как друшлаг, и вы так можете без конца вычищать шеллы. Это как сидеть в море и вычерпывать из него воду, выливая в море.

— Я лично все деньги потратила на научные книги.
— Да?! А кассетный магнитофон кто привёз?
— Вы его видели?
— Видела!
— Вы его слышали?
— Слышала!
— Вы его включали?
— Да!

Коллега, хорош уже цену себе набивать. Ты поставь файрвол сначала, посмотри функционал, а потом умничай уже. Там очень хороший встроенный сканер и сразу покажет что и где внедрили.
Из Ваших слов я сделал вывод, что Вы не пользовались этим расширением.Хватит уже пугать всех неизвестными уязвимостями и дуршлагом. Хватит! (ну реально начинает надоедать , самому не надоело?) Вам уже написали несколько человек: где они? Покажите? Критические даже для Joomla 1.5 закрыли. А остальное - это по вине пользователей или необновляемых расширений.

У меня стоит на 3х сайтах 1.5 и файрвол и смысла обновлять до 3 ветки пока не вижу никакого.

Возвращаюсь к теме про магнитофон (кто смотрел фильм "Гараж" - поймет).

Почитайте диалог выше... Намек ясен?

P.S.
И кстати как Вы хитро перескочили... сначала утверждали, что 2.5 дырявая, потом когда осадили - уже на 1.5 переключились. Здесь же вся переписка как на ладони.

P.S.2
Я почему в эту тему "залез", потому что Вы написали о известных уязвимостях для 2.5.28. И даже готов был, что Вы их предоставите. Я бы тогда признал свою неправоту и "намотал на ус" Вашу информацию. Но Вы ничего кроме пустых слов не предоставили. Может нечего?

Я хз какого вы профиля, но явно безопасность сайтов не ваш стержень...

Надо 1.5.х без проблем, 2.5.х тоже пожалуйста, 3.х не вопрос, только суть в том что не считаю нужным,

Да если б так было как пишут, то уже все старые сайты Joomla лежали б.

Обновление до последней версии - это не решение конкретной проблемы.

Второй не рассказал клиенту, что при обновлении Joomla 1.5-> 3, вирусы не переносятся, поскольку перенос в основном данных в базе данных

Как от появился этот вирус в этой папке. Что делать, чтобы запретить его появление в будущем?

Поставьте Firewall. Это не даст 100% защиты, но от простых атак закроет точно и дыры в необновляемых (по вине разработчиков) расширениях закроет (не надо будет об этом беспокоиться). И + сможете всегда просканировать и хотя бы по факту найти этот вирус (бекдор, шел) и удалить.
У меня на всех сайтах стоит RSFirewall (реферальная ссылка), каждый день приходят уведомления о попытках взлома по несколько десятков сообщений (значит защищает), хотя периодически, раз в полгода, обнаруживаю бекдоры (им же сканирую). Грешу на хостера. Я честно говоря уже привык даже... как сказал SeBun, у меня на сайтах брать нечего (Commedia там не лежит, я ручками рассылаю), разве что погреться зайти. )

скажите вы решили данную проблему? если да то как?

#Запрещаем доступ для всех, кроме указанных IP-адресов
ErrorDocument 403 http://site.net
Order deny,allow
Deny from all
Allow from 92.65.116.137

#Защищаем .htaccess файл
<files .htaccess>
Order allow,deny
Deny from all
Satisfy all
</files>
#Запрещаем просмотр содержимого папки
Options All -Indexes

я просто поставил права на папку 555

т.е. в папку сейчас у вас никто не пишет ничего, для работы сайта это никак не влияет?

если не устанавливать новые расширения, то никак не влияет. А когда надо что-то установить снова меняете права. Пока делаю так, ибо не нахожу лучшего выхода в моём случаи

причину не пытались искать?
как вообще можно понять кто создает файл в папке?

сканировал AI-Bolit-том, но так и ничего подозрительного не нашёл. Правда обновил одну библиотеку, почистил от ненужных плагинов. Так всё мелкое. после этого опять залили в папку вирус, и я её закрыл на запись

Order Allow,Deny
Deny from all
<Files ~ "\.(bmp|css|csv|doc|gif|html|jpg|jpeg|js|pdf|png|ppt|psd|swf|tiff|txt|xls|BMP|CSS|CSV|DOC|GIF|HTML|JPG|JPEG|JS|PDF|PNG|PPT|PSD|SWF|TIFF|TXT|XLS|mp4)$">
Allow from all
</Files>

аналогично
а какой IP оставляли на доступ к папке своей машины?

а зачем вам знать?

ErrorDocument 403 http://site.net
Order deny,allow
Deny from all
Allow from 92.65.116.137

Скажите пожалуйста, как настроить данный Firewall чтоб он показал от чего создаются вредоносные файлы во временной папке?
или он это не делает?