История изменений

/tmp каталоге сайта каким-то образом оказался интересный файл с именем phphaATEM

upload_tmp_dir = /tmp ?

Ты уверен что этот файл куда-то дальше tmp-а попал? Выглядит как временный файл из POST-запроса, который почему-то не удалился при завершении работы скрипта.

Посмотрел access-лог по времени создания файла, там ничего сверхестественного не увидел, сплошные GET-запросы, один POST-запрос какого-то робота:

Дату то сравни поточнее - файла и у запросов. А POST-запрос - не от обычного робота, а как минимум от сомнительного. Скорее всего пытавшегося тебя взломать. Но если это просто временный файл - ничего страшного. Вообще, можешь на тот же урл послать самодельной формой ещё какой-нить файл и посмотреть как он появится в /tmp с похожим именем.

Я его даже скопировал в каталог web-сервера и зашел на эту страницу

А это уже немного опасно было. Вдруг это хитрый план: подсунуть тебе в tmp дважды обфусцированный троян, чтобы ты из любопытства таки запустил его.

Обновиться до Debian 11 не могу, потому что в нем уже PHP5 нет, а код весьма старый.

Вообще-то никто не мешает собрать самостоятельно. Хотя смысла в этом обновлении не сильно много.

/tmp каталоге сайта каким-то образом оказался интересный файл с именем phphaATEM

upload_tmp_dir = /tmp ?

Ты уверен что этот файл куда-то дальше tmp-а попал? Выглядит как временный файл из POST-запроса, который почему-то не удалился при завершении работы скрипта.

Посмотрел access-лог по времени создания файла, там ничего сверхестественного не увидел, сплошные GET-запросы, один POST-запрос какого-то робота:

Дату то сравни поточнее - файла и у запросов. А POST-запрос - не от обычного робота, а как минимум от сомнительного. Скорее всего пытавшегося тебя взломать. Но если это просто временный файл - ничего страшного. Вообще, можешь на тот же урл послать самодельной формой ещё какой-нить файл и посмотреть как он появится в /tmp с похожим именем.

Я его даже скопировал в каталог web-сервера и зашел на эту страницу

А это уже немного опасно было. Вдруг это хитрый план: подсунуть тебе в tmp дважды обфусцированный троян, чтобы ты из любопытства таки запустил его.

Обновиться до Debian 11 не могу, потому что в нем уже PHP5 нет, а код весьма старый.

Вообще-то никто не мешает собрать самостоятельно. Хотя смысла в этом не сильно много.

/tmp каталоге сайта каким-то образом оказался интересный файл с именем phphaATEM

upload_tmp_dir = /tmp ?

Ты уверен что этот файл куда-то дальше tmp-а попал? Выглядит как временный файл из POST-запроса, который почему-то не удалился при завершении работы скрипта.

Посмотрел access-лог по времени создания файла, там ничего сверхестественного не увидел, сплошные GET-запросы, один POST-запрос какого-то робота:

Дату то сравни поточнее - файла и у запросов. А POST-запрос - не от обычного робота, а как минимум от сомнительного. Скорее всего пытавшегося тебя взломать. Но если это просто временный файл - ничего страшного. Вообще, можешь на тот же урл послать самодельной формой ещё какой-нить файл и посмотреть как он появится в /tmp с похожим именем.

Я его даже скопировал в каталог web-сервера и зашел на эту страницу

А это уже немного опасно было. Вдруг это хитрый план: подсунуть тебе в tmp дважды обфусцированный троян, чтобы ты из любопытства таки запустил его.

/tmp каталоге сайта каким-то образом оказался интересный файл с именем phphaATEM

upload_tmp_dir = /tmp ?

Ты уверен что этот файл куда-то дальше tmp-а попал? Выглядит как временный файл из POST-запроса, который почему-то не удалился при завершении работы скрипта.

Посмотрел access-лог по времени создания файла, там ничего сверхестественного не увидел, сплошные GET-запросы, один POST-запрос какого-то робота:

Дату то сравни поточнее - файла и у запросов. А POST-запрос - не от обычного робота, а как минимум от сомнительного. Скорее всего пытавшегося тебя взломать. Но если это просто временный файл - ничего страшного. Вообще, можешь на тот же урл послать самодельной формой ещё какой-нить файл и посмотреть как он появится в /tmp с похожим именем.