1. Уважаемые пользователи, прежде чем ответить в теме или создать новую,
    внимательно ознакомьтесь с правилами раздела

    Кому лень работать или руки не оттуда - пользуйтесь услугами специалистов
  2. Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.."

    Есть JED!!! Ищите там!!!

Не работает сайт, в configuration.php довились какие то строчки

Тема в разделе "Joomla", создана пользователем SUVEREN, 2 апр 2009.

Информация :
  • Уважаемые пользователи, прежде чем ответить в теме или создать новую, внимательно ознакомьтесь с правилами раздела
  • Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.." Есть JED!!! Ищите там!!!
  • Аналоги ищите там же - на JED!!!
  • Новая версия? - У кого будет - тот выложит!
Статус темы:
Закрыта.
Модераторы: arman29, DMS, Genk0
  1. SUVEREN

    SUVEREN

    Регистр.:
    13 фев 2008
    Сообщения:
    360
    Симпатии:
    175
    Ребята, привет. Пишу вот почему. Сегодня захожу на свой сайт и вижу как он выдает вот такую ошибку
    Код:
    Parse error: syntax error, unexpected '<' in /home/mysite/public_html/index.php on line 88
    В админку тоже не могу зайти, так же выдает ту же ошибку но в другой строке в файле configuration.php

    Полез я эти строчки смотреть и вот что обнаружил.

    в конфигуратион пхп
    Код:
    ?<html><body onload=""</body></html>>
    вместо
    Код:
    ?>
    в индекс пхп
    Код:
    echo JResponse::toString($mainframe->getCfg('gzip'));<html><body onload = "<script>document.write(unescape(;<script>document.write(unescape());</script>));</script>"></body></html>
    вместо
    Код:
    echo JResponse::toString($mainframe->getCfg('gzip'));

    что это может быть и самое главное, как эта фигня на сайт добавилась ?
    К админке и фтп только у меня доступ, но я ничего не делал.:nezn::bc:
     
  2. emone

    emone Постоялец

    Регистр.:
    1 сен 2007
    Сообщения:
    133
    Симпатии:
    38
    ооо дарагой черевато Iframe какие атрибуты на файлах стояли 666 :) ? PHP в Safe mode ON\OFF ?
    что то явно пролистало твои директории.
    Или сервак глюканул, у меня такое было когда на серваке винты решили поменять :) но это врятли. Скорее всего какой то червь.
    П.С.
    Меняй срочняком пароли на ФТП, отключай сайт от мира .хтаксесом и лопать файлы движка в которых разрешена запись была

    Добавлено через 7 минут
    Ты все делал как в этом топике написано ? Как защитить Joomla
     
    SUVEREN нравится это.
  3. SUVEREN

    SUVEREN

    Регистр.:
    13 фев 2008
    Сообщения:
    360
    Симпатии:
    175
    Эх не читал.:( и обновится необновлялся,:( стоит версия 1.5.8:(

    Так что я уже сделал.
    1 - сменил пароль в cPanel и следовательно в FTP, по фтп у меня один акаунт, пользователей нету кроме админа.
    2 - закрыл паролем директорию администратора
    3 - по файлам. index.php и configuration.php у них разные права были у одного 666. а у другого 644 - добавило фреймы в обое .... это нормально?
    Но все равно поставил права на тот и другой 444.

    На верваке safe_mode Off стоит.

    Мне ещё что то надо сделать или этого хватит ? Саму ждумлу щас обновлять буду.

    Темку которую ты дал, я прочел но не все понятно.

    в частности
    и это , правда другой юзер писал

     
  4. emone

    emone Постоялец

    Регистр.:
    1 сен 2007
    Сообщения:
    133
    Симпатии:
    38
    чисти все индекса - черви восновмном заливают свое тело (скрипт) файлы index.php index.html тобиш те файл к которым идет запрос впервую очередь, таким образом вирус розмножаеться. заглянь в гланвый файл шаблона нет ли там таких строк. прочеши максимального много индексовых файлов. перед обновкой джумлы, так ты будешь видить куда имеенно что заливалось.
    То что ты зделал максимально поможет безопастности сайта.
    А вот на щет МД5 я к сожалению не знаю, так как такого ен делал сам никогда.
     
    SUVEREN нравится это.
  5. SUVEREN

    SUVEREN

    Регистр.:
    13 фев 2008
    Сообщения:
    360
    Симпатии:
    175
    Вобщем вот такие штуки.

    Просмотрел через фтп файлы, нашол код <html><body onload=""</body></html> в следующих файлах корня сайта.

    index2.php
    license.php
    install.php
    credits.php
    copyright.php
    changelog.php
    index2.php


    На всех файлах стояли и стоят права 644, пробую изменить на 444 ... не получается.

    Потом взял и слил public_html к себе на комп, прошолся по нем архивариусом 3000, искал строчки

    Код:
    <html><body onload = "<script>document.write(unescape(;<script>document.write(unescape());</script>));</script>"></body></html>
    Код:
    <html><body onload=""</body></html>
    ну и производные просматиривал типо
    Код:
    <script>document.write(unescape());
    Код:
    onload=""
    Ничего подозрительного вроде не нашел.

    emone в файле с шаблоном вроде ничего нету, там вообще никаких по ходу дела изменений, хотя хз, а как выглядит примерно тело червяка ?

    я вот нашел одну штуку в папке с шаблоном моим
    Код:
    <html>
       <script language="JavaScript">
                function pageLoaded() {
                   window.parent.dhtmlHistory.iframeLoaded(window.location);
                }
       </script>
       <body onload="pageLoaded()">
          <h1>blank.html - Needed for Internet Explorer's hidden IFrame</h1>
       </body>
    </html>
    Но это походу что то безвредное, оно и в чистом дистрибутиве на компе есть.....


    А что дальше делать ? я ещё жомлу не обновлял, уже можно или ещё что то предпринять?

    Я может много спрашиваю, извиняюсь, просто раньше с таким не сталкивался, хочется удалить эту заразу на корню. :)
     
  6. satarion

    satarion Постоялец

    Регистр.:
    18 дек 2006
    Сообщения:
    134
    Симпатии:
    102
    Ну, кроме всего прочего - поищи по папкам шелл...
    Его частенько запихивают в какую-нть 20ую от корня папку, куда и не заглядывал-то ни разу...

    Самое лучшее - попроси хостера восстановить бэкап со времени последних значимых изменений на сайте... или хотя-бы - за день до момента появления траблов. А уж потом предпринимай все телодвижения по защитам, апдейтам и прочей параное =)

    ЗЫ: Если у вас нету паранойи - это еще не значит, что за вами никто не следит... :-]
     
    SUVEREN нравится это.
  7. SUVEREN

    SUVEREN

    Регистр.:
    13 фев 2008
    Сообщения:
    360
    Симпатии:
    175
    satarion пообщался с хостинг провайдером на тему шела и откатов, проверили он лайн антивирусом в cpaleli ничего не нашли, я public_html скачал к себе на комп тоже проверял ничего не нашел. Провайдер говорит значит шела нет.

    Я поищу шел, а как его найти, можт он называется как то по особому или имеет специфический код, чтоб можно было доки просканить архивариусом например
     
  8. emone

    emone Постоялец

    Регистр.:
    1 сен 2007
    Сообщения:
    133
    Симпатии:
    38
    Да шел может быть назван по разному, как душа желает!
    обнови джумлу. и по безопастности все проделай как было описано в теме выше, плюс удали строки те що остались с левым кодом, после обновления. Запусти проект, посмотри как будет себя вести.
    П.С. ище махонький совет: когда обновишь страничку по Ф5 обрати внимание на Строку состояния, в ИЕ она слева в низу бразуера .. или кроме твоего домена там ничего не проскакивает, какие то левые сайты кроме известных тебе ... (тип там разные банерки и тд)
     
    SUVEREN нравится это.
  9. mmka

    mmka ----

    Регистр.:
    23 май 2008
    Сообщения:
    413
    Симпатии:
    201
    Народ говорят вон айфрейм уже на 1.5.9 суют... так что лучше обновитесь
    http://forum.joomla.org/viewtopic.php?f=432&t=388901
     
    SUVEREN нравится это.
  10. panasenkos

    panasenkos Писатель

    Регистр.:
    28 июн 2009
    Сообщения:
    5
    Симпатии:
    0
    Не тупи ОШ
    ипаиапи
     
Статус темы:
Закрыта.