Не работает сайт, в configuration.php довились какие то строчки

[SUVEREN]

Ребята, привет. Пишу вот почему. Сегодня захожу на свой сайт и вижу как он выдает вот такую ошибку

Parse error: syntax error, unexpected '<' in /home/mysite/public_html/index.php on line 88

В админку тоже не могу зайти, так же выдает ту же ошибку но в другой строке в файле configuration.php

Полез я эти строчки смотреть и вот что обнаружил.

в конфигуратион пхп

?<html><body onload=""</body></html>>

вместо

?>

в индекс пхп

echo JResponse::toString($mainframe->getCfg('gzip'));<html><body onload = "<script>document.write(unescape(;<script>document.write(unescape());</script>));</script>"></body></html>

вместо

echo JResponse::toString($mainframe->getCfg('gzip'));

что это может быть и самое главное, как эта фигня на сайт добавилась ?
К админке и фтп только у меня доступ, но я ничего не делал.:bc:

 

[emone]

ооо дарагой черевато Iframe какие атрибуты на файлах стояли 666 ? PHP в Safe mode ON\OFF ?
что то явно пролистало твои директории.
Или сервак глюканул, у меня такое было когда на серваке винты решили поменять но это врятли. Скорее всего какой то червь.
П.С.
Меняй срочняком пароли на ФТП, отключай сайт от мира .хтаксесом и лопать файлы движка в которых разрешена запись была

Добавлено через 7 минут
Ты все делал как в этом топике написано ?

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[SUVEREN]

Эх не читал. и обновится необновлялся, стоит версия 1.5.8

Так что я уже сделал.
1 - сменил пароль в cPanel и следовательно в FTP, по фтп у меня один акаунт, пользователей нету кроме админа.
2 - закрыл паролем директорию администратора
3 - по файлам. index.php и configuration.php у них разные права были у одного 666. а у другого 644 - добавило фреймы в обое .... это нормально?
Но все равно поставил права на тот и другой 444.

На верваке safe_mode Off стоит.

Мне ещё что то надо сделать или этого хватит ? Саму ждумлу щас обновлять буду.

Темку которую ты дал, я прочел но не все понятно.

в частности

2) чисти все индекса, если файлом много делай дамп, качай на локал и там по шаблону задавай в поиск и гоняй поиском. потмо почитсить уже выбраные файлы

и это , правда другой юзер писал

2. Использовать какой-либо скрипт который создает контрольные суммы файлов или мд5 хеши а потом сверяет и х с текущими (так всегда можно отследить куде залили шел и т.п. если ужо случилось и быстр устранить).

 

[emone]

чисти все индекса - черви восновмном заливают свое тело (скрипт) файлы index.php index.html тобиш те файл к которым идет запрос впервую очередь, таким образом вирус розмножаеться. заглянь в гланвый файл шаблона нет ли там таких строк. прочеши максимального много индексовых файлов. перед обновкой джумлы, так ты будешь видить куда имеенно что заливалось.
То что ты зделал максимально поможет безопастности сайта.
А вот на щет МД5 я к сожалению не знаю, так как такого ен делал сам никогда.

 

[SUVEREN]

Вобщем вот такие штуки.

Просмотрел через фтп файлы, нашол код <html><body onload=""</body></html> в следующих файлах корня сайта.

index2.php
license.php
install.php
credits.php
copyright.php
changelog.php
index2.php

На всех файлах стояли и стоят права 644, пробую изменить на 444 ... не получается.

Потом взял и слил public_html к себе на комп, прошолся по нем архивариусом 3000, искал строчки

<html><body onload = "<script>document.write(unescape(;<script>document.write(unescape());</script>));</script>"></body></html>

<html><body onload=""</body></html>

ну и производные просматиривал типо

<script>document.write(unescape());

onload=""

Ничего подозрительного вроде не нашел.

emone в файле с шаблоном вроде ничего нету, там вообще никаких по ходу дела изменений, хотя хз, а как выглядит примерно тело червяка ?

я вот нашел одну штуку в папке с шаблоном моим

<html>
   <script language="JavaScript">
            function pageLoaded() {
               window.parent.dhtmlHistory.iframeLoaded(window.location);
            }
   </script>
   <body onload="pageLoaded()">
      <h1>blank.html - Needed for Internet Explorer's hidden IFrame</h1>
   </body>
</html>

Но это походу что то безвредное, оно и в чистом дистрибутиве на компе есть.....


А что дальше делать ? я ещё жомлу не обновлял, уже можно или ещё что то предпринять?

Я может много спрашиваю, извиняюсь, просто раньше с таким не сталкивался, хочется удалить эту заразу на корню.

 

[satarion]

Ну, кроме всего прочего - поищи по папкам шелл...
Его частенько запихивают в какую-нть 20ую от корня папку, куда и не заглядывал-то ни разу...

Самое лучшее - попроси хостера восстановить бэкап со времени последних значимых изменений на сайте... или хотя-бы - за день до момента появления траблов. А уж потом предпринимай все телодвижения по защитам, апдейтам и прочей параное =)

ЗЫ: Если у вас нету паранойи - это еще не значит, что за вами никто не следит...

 

[SUVEREN]

satarion пообщался с хостинг провайдером на тему шела и откатов, проверили он лайн антивирусом в cpaleli ничего не нашли, я public_html скачал к себе на комп тоже проверял ничего не нашел. Провайдер говорит значит шела нет.

Я поищу шел, а как его найти, можт он называется как то по особому или имеет специфический код, чтоб можно было доки просканить архивариусом например

 

[emone]

Да шел может быть назван по разному, как душа желает!
обнови джумлу. и по безопастности все проделай как было описано в теме выше, плюс удали строки те що остались с левым кодом, после обновления. Запусти проект, посмотри как будет себя вести.
П.С. ище махонький совет: когда обновишь страничку по Ф5 обрати внимание на Строку состояния, в ИЕ она слева в низу бразуера .. или кроме твоего домена там ничего не проскакивает, какие то левые сайты кроме известных тебе ... (тип там разные банерки и тд)

 

[mmka]

Народ говорят вон айфрейм уже на 1.5.9 суют... так что лучше обновитесь

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[panasenkos]

Не тупи ОШ
ипаиапи