В корне сайта появляется файл с именем ".bt" (без ковычек) - Безопасность сайтов на Joomla

Вообще похоже на клоакинг, закройте ту директорию куда он пишется

Он пишется в корень сайта ...

Кроме этого сайта есть еще сайты на этом аккаунте хостинга?

[Thu Feb 25 14:45:29 2016] [error] [client 68.180.228.223] PHP Warning: file_get_contents(http://woothemewp.com/lnk/tuktuk.php?d=XXXX.ru%2Finformatsiya-vnimanie-rabota.html&ip=68.180.228.223&ua=Mozilla%2F5.0+%28compatible%3B+Yahoo%21+Slurp%3B+http%3A%2F%2Fhelp.yahoo.com%2Fhelp%2Fus%2Fysearch%2Fslurp%29): failed to open stream: HTTP request failed! in /home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php on line 8

нет

На .bt поставил 444 на корневую папку с сайтом 555. Пока в логах относительно "не могу записать файл" ничего нет. Жду.
Но в логах есть такая строка (много строк):

Код

[Thu Feb 25 14:45:29 2016] [error] [client 68.180.228.223] PHP Warning: file_get_contents(http://woothemewp.com/lnk/tuktuk.php?d=XXXX.ru%2Finformatsiya-vnimanie-rabota.html&ip=68.180.228.223&ua=Mozilla%2F5.0+%28compatible%3B+Yahoo%21+Slurp%3B+http%3A%2F%2Fhelp.yahoo.com%2Fhelp%2Fus%2Fysearch%2Fslurp%29): failed to open stream: HTTP request failed! in /home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php on line 8

Файла "/home/users/c/XXXX/domains/XXXX.ru/administrator/frmtmp.php" визуально нет.

И тоже самое для файла /home/users/c/XXXX/domains/XXXX.ru/frmtmp.php - его тоже визуально нет

Если сами не можете посмотреть спросите у ТП хостинга от куда появляется файл.
Какие установлены плагины и расширения? весь список покажите.
в htaccess запрет на обращение к файлу пропишите будет ошибка и увидите кто к нему обращается в логах

Код

<Files .bt>
 order allow,deny
 deny from all
 </Files>

Можете плагин поставить он на почту отправляет изменения файлов на сайте.

На .bt поставил 444 на корневую папку с сайтом 555. Пока в логах относительно "не могу записать файл" ничего нет. Жду.

.bt надо вообще удалить!

удаляю - он появляется снова

ТП хостера написал еще утром - пока разбираются, но решения еще нет

Странно как-то, я погуглила - это вирусня для WordPress.

Можно ссылку? А то я нашел единственное упоминание для вируса под винду...

Доброго дня жумлаводы.

Такая ситуация. В корне сайта появляется файл с именем .bt содержащий список IP (по одному в строке). При удалении этого файла он опять появляется в течении нескольких секунд.
Думал, что это проявление вирусного заражения - файлы сайта проверил на вирусы (скачал все файлы и проверил антивирусом локально) - ничего нет. Проверил встроенным антивирусом хостера - заражений нет.
Обратился в техподдержку хостера - походу они тоже не в курсе.

Может кто знает о природе файла ".bt" ? Связано это с заражением или внутренним компонентом Joomla?
Я бы может особо и не парился, но сайт периодически становится сложнодоступным (впечатление, что досят, но судя по логам - нет)...

Установлена стандартная Joomla 3.4.8 + Jcomments + JoomGallery + JCEEditor (все обновлено до последних версий).

Спойлер

[свернуть]

Имею на одной площадке хостинга сайты на Joomla, Wordpressе, Друпале и Opencart. После удаления файлов с зашифрованными скриптами по base64, файл .bt появляется только в Друпале и Opencart. Причем, появляется не в корне, а в первой папке по алфавиту. У меня появлялся в папке "cgi-bin". Я для эксперимента создал папку с названием "01". Он прописался туда. Ограничение прав на запись в 400 или в 000 не дает ему обновляться, но выявить окончательно заразу так и не удалось ни по логам, ни сканированием сайтов. При активизации скрипта резко увеличивается нагрузка на процессор веб сервера.

Ограничение прав на запись в 400 или в 000 не дает ему обновляться, но выявить окончательно заразу так и не удалось ни по логам, ни сканированием сайтов.

Однако остается открытым вопрос, что именно вызывает этот файл к жизни, или это подключается со сторонних УРЛов? Потому что вирусные файлы я изничтожила все, по крайней мере надеюсь.

Однако остается открытым вопрос, что именно вызывает этот файл к жизни, или это подключается со сторонних УРЛов?

Хакбот через какую-то дыру. Не обязательно на этом же сайте.

Какой именно файл?.bt все равно появляется?