Mam serwer z Joomla 2.5.27 na windowsie 2003, apache, php 5.4.28, mysql 5.5.28.
Co jakiś czas pojawiają mi się pliki php*.tmp w katalogu uploadu które są blokowane przez antywirus.
Zdarza sie to prawie co dziennie i nie wiem co jest przyczyna. Czy jest to wina zlych ustawien czy bledow w ktoryms pluguinie. Nie chcial bym rezygnowac z phoca.





95.141.32.46 - - [03/Nov/2014:01:56:14 +0100] "GET / HTTP/1.1" 403 202
188.165.196.58 - - [03/Nov/2014:01:56:15 +0100] "GET /index.php/38-strona-glowna-ike/gl-aktualnosci/504-absolutorium-2014 HTTP/1.1" 200 22889
76.72.172.208 - - [03/Nov/2014:01:56:18 +0100] "GET / HTTP/1.1" 200 59062
173.213.112.3 - - [03/Nov/2014:01:56:36 +0100] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c9505 86d0dd595c8e20b HTTP/1.1" 404 1497
173.213.112.3 - - [03/Nov/2014:01:56:36 +0100] "334--" 200 59000
173.213.112.3 - - [03/Nov/2014:01:56:52 +0100] "GET //images/stories/jalang.pHP HTTP/1.1" 404 223
173.213.112.3 - - [03/Nov/2014:01:56:53 +0100] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c9505 86d0dd595c8e20b HTTP/1.1" 404 1497
173.213.112.3 - - [03/Nov/2014:01:56:53 +0100] "334--" 200 59000


2014-11-03 1:56:53 AM Ochrona systemu plików w czasie rzeczywistym plik N:\upload\php1877.tmp PHP/Agent.NDP koń trojański wyleczony przez usunięcie NT AUTHORITY\SYSTEM Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: M:\apache\bin\httpd.exe.


173.213.112.3 - - [03/Nov/2014:01:57:09 +0100] "GET /index.php/en/component/xmap//images/stories/jalang.pHP HTTP/1.1" 500 1591
173.213.112.3 - - [03/Nov/2014:01:57:09 +0100] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c9505 86d0dd595c8e20b HTTP/1.1" 404 1497
173.213.112.3 - - [03/Nov/2014:01:57:10 +0100] "334--" 200 59000


2014-11-03 1:57:10 AM Ochrona systemu plików w czasie rzeczywistym plik N:\upload\php1878.tmp PHP/Agent.NDP koń trojański wyleczony przez usunięcie NT AUTHORITY\SYSTEM Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: M:\apache\bin\httpd.exe.


[03-Nov-2014 01:57:15 UTC] PHP Notice: Undefined variable: iCss in M:\www\plugins\content\phocagallery\phocagallery.p hp on line 396


[03-Nov-2014 01:57:15 UTC] PHP Notice: Undefined variable: iCss in M:\www\plugins\content\phocagallery\phocagallery.p hp on line 397
[03-Nov-2014 01:57:15 UTC] PHP Notice: Undefined variable: iCss in M:\www\plugins\content\phocagallery\phocagallery.p hp on line 1349

Joomle masz najnowszą a resztę komponentów ?
JCE np ?
Jakie masz uprawnienia ustawione do tmp ?

Phoca najnowsza dla tej joomli - 3.2.8
Edytor JCE nie uzywam, mam tylko wbudowany TinyMCE
Z logów wynika że problemem jest wbudowany imgmanager albo PhocaGallery :/
Wykonywalne sa tylko pliki PHP, i to tam gdzie pozwala na to .httaccess
Wszystkie katalogi sa zapisywalne, z wyjatkiem pliku configuration.php

Jak nie używasz to odinstaluj JCE poco go trzymasz ?

index.php?option=com_jce&task=plugin&plugin=imgmanager
Tu jest twój problem na pewno :)

Myslę że już go nie mam. Nie mam ani jednego katalogu na serwerze ktory by mial w nazwie "jce".

Sprawdź w takim razie czy w katalogu images/stories/ masz jakiś pliki *.php
Jeśli nie a problem się powtarza wówczas potrzeba głębszej analizy.
Na wiki jest instrukcja zachować się po włamaniu.

Kiedys juz skasowalem ten folder. Ogolnie wszedzie w images mam pliki .htaccess zabraniajace wykonywania php.
A nie jest przypadkiem tak że dane z POST zawsze sa przyjmowane w tym katalogu uploadu, a potem skrypt decyduje czy zostana przyjete czy nie?
W takim przypadku antywir zachowuje sie poprawnie, wykrywa zlosliwy kod i go kasuje, zanim to zrobi apache. W koncu odpowiedzia apache jest 404 - zly link w zwiazku z brakiem com_jce.

Nie to nie tak jak myślisz :)
Tutaj (http://phpkurs.pl/przekazywanie-danych/) doczytaj sobie drugi akapit.
Atak na stronę następuje w automatyczny sposób... Bot sprawca czy może coś wstrzykać pod określane specjalnie spreparowane linki. Które starają się wywołać określone zadania. Jeśli się uda wówczas poprzez dziurę uploadowywuje się plik który się później rozprzestrzenia lub wykonuje kolejny zdalny skrypt.
Na dobrą sprawę powtarzające się IP powinieneś zablokować choćby przez htaccess, zabezpieczyć stronę chodźby "spadaj (http://pliki.joomla.pl/katalog/dostep-i-bezpieczenstwo/bezpieczenstwo-witryny/dodatek-spadaj.html)" lub np zainwestować trochę $ i zakupić RS!Firewall do prawie kompleksowej ochrony.

Tak czy inaczej przeskanuj sobie stronę https://myjoomla.com

Zbadałem to i chyba jednak to ja mam racje.
Stworzyłem sobie lokalnie plik html z formularzem post do przesyłania plików, i jako cel obrałem ten sam skrypt co w próbach włamania.
Zainstalowałem też monitor plików i widać że apache stworzył sobie plik tymczasowy po czym go skasował.

12-22.8244744 httpd.exe 1552 CreateFile N:\upload\php1A6A.tmp SUCCESS Desired Access: Read Attributes, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Complete If Oplocked, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened
12-22.8244956 httpd.exe 1552 QueryFileInternalInformationFile N:\upload\php1A6A.tmp SUCCESS IndexNumber: 0x3000000045b62
12-22.8245040 httpd.exe 1552 CloseFile N:\upload\php1A6A.tmp SUCCESS
12-22.8245367 httpd.exe 1552 QueryAttributeTagFile N:\upload\php1A6A.tmp SUCCESS Attributes: AC, ReparseTag: 0x0
12-22.8245456 httpd.exe 1552 SetDispositionInformationFile N:\upload\php1A6A.tmp SUCCESS Delete: True
12-22.8245576 httpd.exe 1552 CloseFile N:\upload\php1A6A.tmp SUCCESS

Jak by to był plik z wirusem, pewnie też by mi wyskoczyło ostrzeżenie. Już wszystko rozumiem, ostrzeżenia mogę zignorować.