Autor | Zpráva | ||
---|---|---|---|
Tomane Profil |
#1 · Zasláno: 30. 9. 2013, 17:49:11 · Upravil/a: Moderátor (editace znemožněna) 2. 10. 2013, 10:54:06
Dobrý den, chtěl bych poprosit o radu, kde v naší CMS může být vir ?
AVG mi hlásí, že na v index.php naší cms je vir JS/redir. Když otevřu v html editoru ten index.php, nějak tam žádný nevidím :-( Poradí někdo, když projde html kód, kde by mohl být ? <?php /** *Projekt: Mikrostranky - Eshop * Autor: M. V. , info@vaaes.cz, ww.alu.plast.cz * Datum: 10. 10. 2007 * Soubor: index.php * Popis: Hlavni stranka. */ if(ini_get('session.auto_start') != 1) session_start(); ob_start("ob_gzhandler"); // Limit pro vykonani vsech skriptu //@set_time_limit(20); // Zkontroluje verzi PHP /*if (substr(PHP_VERSION, 0, 1) < 5) { print '<h1 style="color:red; text-align: center; border: solid 4px red; padding: 10px;">CHYBA: Pro spuštění aplikace je nutné PHP 5 a vyšší</h1>'; exit; }*/ // Nacte uivatelsky konfiguracni soubor require_once('../config/cfg.php'); // Nacte zakladni konfiguracni soubor require_once('../_webapp/core/config/cfg.php'); // Soubor pro konfiguraci sablony if(file_exists('../'.TEMPLATES_DIR.TEMPLATE_TYPE.'/template.cfg.php'))require_once('../'.TEMPLATES_DIR.TEMPLATE_TYPE.'/template.cfg.php'); else require_once('../'.TEMPLATES_DIR.'default/template.cfg.php'); // Nacte zakladni konfiguracni soubor s texty require_once(CMS_TEXT); // Nacte pripojeni k DB require_once(CMS_CORE_DIR.'config/db.php'); // Nacte tridy function __autoload($name) { require_once (CMS_CLASS_DIR.strtolower($name).'.class.php'); } //Nacte startovaci skript require_once(CMS_CORE_DIR.'cmsstartup.php'); //Nacte hlavni sablonu include(CMS_TEMPLATES_DIR.'main.php'); ob_end_flush(); ?> Děkuji moc za každou radu :-) Moderátor Chamurappi: Titulek „Poraďte prosím kde najdu ?“ nevystihoval podstatu dotazu. Příště zkus prosím vymyslet lepší.
|
||
han5vk Profil |
#2 · Zasláno: 30. 9. 2013, 18:44:53
"Poraďte prosím kde najdu ?" fakt nie je veľmi výstižný názov. Do toho index.php(ktorý je sám o sebe neškodný) sa vkladajú ďalšie stránky, predpokladám že v nich bude aj niečo z databázy, a to všetko sa pri otvorení tvári ako index.php, takže je dosť problém zistiť kde môže byť ten vír.
|
||
Tomane Profil |
#3 · Zasláno: 30. 9. 2013, 19:02:48
No to je hezká rada a co mam tedy dělat ? nemůžu to tam nechat jen tak ?
Musí být na to nějaký způsob, jak tu stránku projít a vir odhalit ? |
||
han5vk Profil |
#4 · Zasláno: 30. 9. 2013, 19:07:15
Prejavuje sa nejako ten "vír" ? JS/redir logicky naznačuje len to, že je tam nejaký javascript ktorý niečo presmerováva. To zvyčajne nemusí byť vôbec vírus, záleží na tom, kde to presmerováva. Skús si tu stránku normálne v prehliadači spustiť a pozrieť sa do kódu v prehliadači, hlavne na <script>y, prípadne inak začlenený JS.
|
||
Tomane Profil |
#5 · Zasláno: 30. 9. 2013, 19:22:36 · Upravil/a: Tomane
No ono se něco stalo aj s CMS, ten editor, kde jsou ikony velikosti písma, barva písma, vložit obrázek a další, ten přestal v adminu najednou fukgovat :-(
A CMS nezpbrazuje žádný html kód ?? |
||
han5vk Profil |
#6 · Zasláno: 30. 9. 2013, 19:42:00
Netuším čo to máš za CMS, netuším aký máš editor kde sú veľkosti písma a neviem čo. Ako to myslíš, že CMS nezobrazuje žiadny HTML kód?
|
||
Tomane Profil |
#7 · Zasláno: 30. 9. 2013, 19:45:21 · Upravil/a: Tomane
No pokud mám zobrazit html kód normál celé sránky, tak to sem udělal a nevidím tam nic podezřelého :-(
No púrostě když vkládáš na web třeba novinku , tak klikneš v CMS na nová novinka a otevře se okno, kam se to píše a vkládá. Nad tím oknem jsou různé ikony, kde se třeba pomocí ikony vloží obrázek, do něj odkaz, nebo se nastaví velikost textu, barva atd. A tyhle ikony mi zmizly :-( Je tam jen okénko a nad nim nic. |
||
lorin Profil |
#8 · Zasláno: 30. 9. 2013, 19:54:54
Jaký používáš CMS? Jakou verzi? Jaké doplňky? Po čem začala editace článků/novinek blbnout? Odkaz by nebyl?
|
||
Tomane Profil |
#9 · Zasláno: 30. 9. 2013, 20:01:41
No lorin, to je CMS v podstatě neznámá, dělal ji ten, kdo dělal stránky. Ona ale léta fungovala a teď najednou tenhle problém. Kdy, nebo po čem začala blbnout, to nevím, ničeho jsem si nevšiml. Neni to ani Joomla, ani Wordpress. A jaký odkaz ? na co bys chtěl odkaz ?
|
||
Tori Profil |
Tomane:
„A tyhle ikony mi zmizly :-( Je tam jen okénko a nad nim nic.“ A nezablokoval AVG nějaký JS soubor, případně nesmazal ho? Tj. není v AVG uvedeno, jaký soubor přesně obsahuje ten virus, třeba když byste si dal zkontrolovat celý adresář s tím webem? (předpokládám teda, že to máte na lokálním disku a hlásí vám to tam) |
||
Tomane Profil |
#11 · Zasláno: 30. 9. 2013, 20:08:33 · Upravil/a: Tomane
Ne ne Tori, tohle nejelo už předtím, avg jsem nainstaloval až po , když už to v CMS nešlo. Jinak avg odkazuje na stránku http://alu.plast.cz/cms/index.php?a=home.
Obsah stránky jsem stáhnul ke mě do PC a když ho dám projít AVG, tak to nic nenajde, ale přímo na webu okamžitě ukáže při registraci do CMS tuhle hrozbu. Samotná stránka je ok, tam nikde nic nehlásí a neidentifikuje žádnou hrozbu, pouze při registraci do CMS. Bohůžel víc podrobností jsem z AVG nevyčetl, tedy už vůbec né konkrétní soubor :-( Ani ONLINE scannery na webove stránky nic ani jeden nenašly, ale AVG huláka a CMS blbne :-( |
||
pavuk Profil |
#12 · Zasláno: 30. 9. 2013, 22:34:46
Tomane:
„A jaký odkaz ? na co bys chtěl odkaz ?“ Možná trochu překvapivě na stránky, se kterýma máš problém... |
||
Tomane Profil |
#13 · Zasláno: 1. 10. 2013, 08:20:05
Však na ty stránky odkaz byl už ihned v první zprávě.
www.alu.plast.cz |
||
Tori Profil |
Tomane:
Jsou to dvě různé chyby (i když můžou souviset): 1. rozbitý JS editor - tady by se právě hodil odkaz přímo na ten editor. Nedá se udělat aspoň kopie stránky? Formulář + připojené všechny JS, ale formulář se klidně může odesílat na neexistující adresu. Jen aby se ten JS dal zkontrolovat v konzoli. - když vypnete AVG, přihlásíte se do CMS a zkusíte např. přidat novinku, editor stále nefunguje? 2. AVG hlásí virus na stránce s přihlášením (anebo registrací?) - projevuje se to i v jiném prohlížeči? (je možnost, že to způsobuje nějaký doplněk prohlížeče) - zkoušel jste už radu [#4] han5vk? (já AVG nemám, takže netuším, co to je za hlášku) |
||
Tomane Profil |
#15 · Zasláno: 2. 10. 2013, 16:29:01 · Upravil/a: Tomane
Tori moc děkuji za odpověď,
1, - Kopii udělám rád, ale nevím jak to přesně udělat. Nicméně nějaký odkaz posílám v PM. - Když vypnu AVG, editor opravdu nefunguje 2, AVG hlásí virus na stránce s přihlášení do CMS - ano, projevuje se to v Opeře i firefoxu, IE nepoužívám - radu jsem zkoušel, kód jsem si otevřel, ale nějak jsem v něm neviděl nic špatného, ale nejsem odborník moc, tak se třeba pletu Aha tak tady nejde poslat asi PM, tak leda to doladit na ICQ nebo skype ?? |
||
Tomane Profil |
#16 · Zasláno: 2. 10. 2013, 17:48:14 · Upravil/a: Tomane
Tak zjišťuji, že stejnou hlášku hlasí AVG při jakémkoliv pohybu v CMS. Například při přidávání novinky to hodí adresu té novinky a že je v ní taky stejny JS/redir, čili to je asi v celé CMS :-(
Ale je zajímavé, že ani jeden ONLINE scan nenajde nikde nic a že to testuji asi v 4, či 5. I když zadám přímo adresář, kde je CMS :-( |
||
Rfilip Profil |
#17 · Zasláno: 2. 10. 2013, 18:12:20
Tudíž ten JS/redir je v nějakém js scriptu administrace, online scany ten soubor nenajdou protože vidí jen přihlašovací stránku a testují jenom soubory v ní zmíněné.
|
||
Tori Profil |
Zkuste pohledat, kde je v JS řetězec "location" a kdy / jak se to volá. (= vlastnost
window.location )
|
||
Tomane Profil |
#19 · Zasláno: 2. 10. 2013, 19:48:12 · Upravil/a: Tomane
Teď trošku nerozumím TORI ? Co nebo kde mám hledat ?
Rfilip, to si já myslím taky že je to v nějakém scriptu adminu, ale jak ho najdu ?? |
||
Tori Profil |
#20 · Zasláno: 2. 10. 2013, 19:54:24
V js scriptech najít slovo "location". Zjistit, v jaké je funkci, odkud se ta funkce volá.
|
||
Tomane Profil |
#21 · Zasláno: 2. 10. 2013, 19:57:57
no dal jsem prohledat celé FTP , kde je ta stránka na slovo location, tak uvidíme
|
||
lorin Profil |
#22 · Zasláno: 2. 10. 2013, 20:01:53
Omlouvám se, jestli jsem vás špatně pochopil, ale nemáte hledat soubor location. Máte hledat soubor, který obsahuje slovo
location . Protože window.location v JS přesměrovává na jinou stránku.
|
||
Tomane Profil |
function p(){q.remove(n);if(s){s.onreadystatechange=s.onload=s=null}u()}n=q.uniqueId();if(a.isIE6){o=new a.util.URI(m);r=location;if(o.host==r.hostname&&o.port==r.port&&(o.protocol+":")==r.protocol){a.util.XHR.send({url:a._addVer(o.getURI()),success:function(x){var t=q.create("script",{type:"text/javascript"});t.text=x;document.getElementsByTagName("head")[0].appendChild(t);q.remove(t);p()}});return}}s=q.create("script",{id:n,type: Našlo to toto... |
||
Kajman Profil |
#24 · Zasláno: 2. 10. 2013, 20:11:01
Tomane:
Pokud máte zálohu souborů administrace, porovnejte ji se stavem na ftp. Pokud ji nemáte, kontaktujte hosting nebo člověka, co to programoval, třeba ji udělal alespoň on. |
||
Tomane Profil |
#25 · Zasláno: 2. 10. 2013, 20:11:51 · Upravil/a: Tomane
No je otázka v jakém souboru z těch co jsou v adresáři JS ?
Kajman, to je problém, zálohu nemám a ten kdo stránku dělal se mi už nehlásí a prej programuje někde v zahraničí, takže si musím jedině poradit sám :-( V JS mám toto : Ale všechno toto bylo měměno naposled v roce 2010, takže nevím, jestli tady někde může být ten JS/redir |
||
Amunak Profil |
#26 · Zasláno: 2. 10. 2013, 20:18:05
Nejlepší by bylo, kdybys nám (třeba i někomu soukromě) tady z diskuze poslal přihlašovací údaje do té administrace, ať se na ten kód může podívat někdo, kdo mu rozumí. Možná je to jen false positive.
|
||
Tomane Profil |
Mě stačí nějaká přesnější konkrétní rada a projdu to i sám.
Aha tak je tam ještě toto : .onAdd.dispatch(this,e,d);return d},load:function(h,e,d,g){var f=this;if(f.urls[h]){return}if(e.indexOf("/")!=0&&e.indexOf("://")==-1){e=b.baseURL+"/"+e}f.urls[h]=e.substring(0,e.lastIndexOf("/"));b.ScriptLoader.add(e,d,g)}});b.PluginManager=new b.AddOnManager();b.ThemeManager=new b.AddOnManager()}(tinymce));(function(j){var g=j.each,d=j.extend,k=j.DOM,i=j.dom.Event,f=j.ThemeManager,b=j.PluginManager,e=j.explode,h=j.util.Dispatcher,a,c=0;j.documentBaseURL=window.location.href.replace(/[\?#].*$/,"").replace(/[\/\\][^\/]+$/,"");if(!/[\/\\]$/.test(j.documentBaseURL)){j.documentBaseURL+="/"}j.baseURL=new j.util.URI(j.documentBaseURL).toAbsolute(j.baseURL);j.baseURI=new j.util.URI(j.baseURL);j.onBeforeUnload=new h(j);i.add(window,"beforeunload",function(l){j.onBeforeUnload.dispatch(j,l)});j.onAddEditor=new h(j);j.onRemoveEditor=new h(j);j.EditorManager=d(j,{editors:[],i18n:{},activeEditor:null,init:function(q){var n=this,p,l=j.ScriptLoader,u,o=[],m;function r(x,y,t){var v=x[y];if(!v){return}if(j.is(v,"string")){t=v.replace(/\.\w+$/,"");t=t?j.resolve(t):0;v=j.resolve(v)}return v.apply(t||this,Array.prototype.slice.call(arguments,2))}q=d({theme:"simple",language: |
||
Časová prodleva: 3 dny
|
|||
Tomane Profil |
#28 · Zasláno: 5. 10. 2013, 17:04:02
Tori, je to to zprávné location ? Jiné jsem v tom JS nenašel ? Přesněji řečeno jsem jich našel několik a je otázka, které je to ono ??
|
||
Časová prodleva: 11 let
|
0