Mam stronę CMS na Extreme Fusion IV

Wyświetla się super Działa również bez zarzutu, tyle że gdy dałem podgląd źródła strony wyświetlonej w przeglądarce, ujrzałem wpisy które na 200% nie są mojego autorstwa

Latest news:

• Kel mitchell 2008
• William robert parker
• Slimquick diet pill reviews
• Does acai berry diet really work
• World cafe live 3025 walnut street
• Acai berry colon cleanse scam
• Egg white safety
• Rachael ray recipes 30 minute meals
• 3 egg whites
• Acai berry diet scam

[/code]

Siedzi to sobie zaraz za

Tego na pewno nie wstawiałem W bazie danych nie mam takich wpisów Po przeszukaniu plików strony, również nie widzę abym miał takie wpisy w jakimkolwiek pliku

Wpisy pojawiają się na podglądzie źródła jakiejkolwiek strony ze strony CMS’a

Trochę zamotałem

Wiecie co to może być ?

Adres strony http://www.ospszymany.com

skoro sam nic takiego nie dodawałeś, to …robaczek?

ps. a gdzież to się zawieruszył plik index.php ?

grzebałem na serwerze i zmieniłem mu nazwę XD

Już działa

<?php

/*---------------------------------------------------+

| PHP-Fusion 6 Content Management System

+----------------------------------------------------+

| Copyright © 2002 - 2005 Nick Jones

| http://www.php-fusion.co.uk/

+----------------------------------------------------+

| Released under the terms & conditions of v2 of the

| GNU General Public License. For details refer to

| the included gpl.txt file or visit http://gnu.org

+----------------------------------------------------*/

require_once "maincore.php";


redirect($settings['opening_page']);

?>

Jeśli to faktycznie jakiś syf, a na to wszystko wskazuje, to jedynym doraźnym rozwiązaniem jest pogrzebać w plikach i w bazie - na bank będzie tam coś zaszyte. Znaleźć, usunąć, zabezpieczyć.

Jak masz backupa strony zrobionego, to możesz go przywrócić.

Docelowo zalecał bym przesiadkę np na joomla.

No więc ściągnąłem wszystkie pliki strony oraz bazę danych na dysk. Przeskanowałem przeszukałem pod kątem obecności słów występujących w tej dodatkowej treści Nic nie znalazłem

Załadowałem stronę i bazę na nowy, płatny serwer. Wpisy nadal są w źródle strony

OMG

Robiłem właśnie import bazy danych i teram mam w źródłe strony takie coś:

Są takie wirusy, które biorą hasła do FTP, i łączą się oraz wpisują w pliki index, php i js. Sam swego czasu miałem taki problem. Pierwsze przeskanuj kompa, drugie napisz do administratora hostingu, z prośbą o przeskanowanie serwera (więksi usługodawcy robią to natychmiastowo).

Wcześniej sam nadpisz te pliki

Albo jest jakaś dziura w “PHP-Fusion 6” (używasz najnowszej wersji?) albo masz wirusa/trojana na komputerze. To drugie jest ostatnio dość częste. Więc wyczyść komputer z syfu i wtedy wgraj plik na serwer jeszcze raz.

I MrPigmej i ucho3000 mają tu rację. To sa dwie najczęstsze drogi infekcji stron - albo przez ftp z zarażonego kompa, albo przez luki w skrypcie.

Jak było w tym przypadku, można chyba by się jedynie przekonać przeprowadzając dokładną inspekcję strony i logów serwera.

-inaczej można sobie tylko pogdybać.

A co do tego, że nic nie znalazłeś w bazie ani w plikach - cóż, trzeba wiedzieć gdzie i czego szukać.

Syf rzadko kiedy jest dopisywany w postaci jawnej, raczej w 90% przypadków jest to fragment zakodowany - np base64, często jakąś dziwną funkcją dekodującą, wykonywany przez eval itd.

Używam eXtremeFusion w najnowszej wersji

Przeskanowałem kompa i nic nie znalazłem Napisałem również do admina serwera aby zrobił skana

Na forum poświęconym eXtremeFusion również założyłem temat [http://extreme-fusion.pl/forum/topic,56,22048#post_107606], i potwierdziły się Twoje słowa co do plików z kodem base64

W folderze infusions/navigation_panel miałem dodatkowe pliki:

.htaccess

RewriteBase /infusions/navigation_panel

RewriteEngine on

RewriteRule ^he/(.*)\/?$ panel_navigation.php?/$1 [L]

RewriteCond %{THE_REQUEST} panel_navigation.php\?/(.*)\ HTTP/

RewriteRule ^.*$ %1? [R=301,L]

archive_panel.php http://wklejto.pl/57526 panel_navigation.php http://wklejto.pl/57527I je skasowałem Oraz standardowe: index.php

:)

navigation_panel.php

http://wklejto.pl/57528

-- **Dodane 13.02.2010 (So) 19:22** --

A więc wpisy znajdowały się również w theme.php Zostały usuniete, oraz dodatkowo został usunięty folder który prawdopodobnie zawiera pliki podatne na atak "/infusions/ **member\_poll\_panel** /"

Trzeba czekać na łatę :)

Jak na razie wpisy w źródle strony zniknęły