Autor Zpráva
Tomane
Profil
Dobrý den, chtěl bych poprosit o radu, kde v naší CMS může být vir ?

AVG mi hlásí, že na v index.php naší cms je vir JS/redir.

Když otevřu v html editoru ten index.php, nějak tam žádný nevidím :-(

Poradí někdo, když projde html kód, kde by mohl být ?


<?php
/**
 *Projekt:    Mikrostranky - Eshop
 * Autor:     M. V. , info@vaaes.cz, ww.alu.plast.cz
 * Datum:     10. 10. 2007
 * Soubor:        index.php
 * Popis:        Hlavni stranka.
 */
if(ini_get('session.auto_start') != 1) session_start();
ob_start("ob_gzhandler");
// Limit pro vykonani vsech skriptu
//@set_time_limit(20);

// Zkontroluje verzi PHP
/*if (substr(PHP_VERSION, 0, 1) < 5)
{
    print '<h1 style="color:red; text-align: center; border: solid 4px red; padding: 10px;">CHYBA: Pro spuštění aplikace je nutné PHP 5 a vyšší</h1>';
    exit;
}*/
// Nacte uivatelsky konfiguracni soubor
require_once('../config/cfg.php');
// Nacte zakladni konfiguracni soubor
require_once('../_webapp/core/config/cfg.php');
// Soubor pro konfiguraci sablony
if(file_exists('../'.TEMPLATES_DIR.TEMPLATE_TYPE.'/template.cfg.php'))require_once('../'.TEMPLATES_DIR.TEMPLATE_TYPE.'/template.cfg.php');
else require_once('../'.TEMPLATES_DIR.'default/template.cfg.php');

// Nacte zakladni konfiguracni soubor s texty
require_once(CMS_TEXT);
// Nacte pripojeni k DB
require_once(CMS_CORE_DIR.'config/db.php');

// Nacte tridy
function __autoload($name)
{
    require_once (CMS_CLASS_DIR.strtolower($name).'.class.php');
}

//Nacte startovaci skript
require_once(CMS_CORE_DIR.'cmsstartup.php');

//Nacte hlavni sablonu
include(CMS_TEMPLATES_DIR.'main.php');
ob_end_flush();

?>


Děkuji moc za každou radu :-)

Moderátor Chamurappi: Titulek „Poraďte prosím kde najdu ?“ nevystihoval podstatu dotazu. Příště zkus prosím vymyslet lepší.
han5vk
Profil
"Poraďte prosím kde najdu ?" fakt nie je veľmi výstižný názov. Do toho index.php(ktorý je sám o sebe neškodný) sa vkladajú ďalšie stránky, predpokladám že v nich bude aj niečo z databázy, a to všetko sa pri otvorení tvári ako index.php, takže je dosť problém zistiť kde môže byť ten vír.
Tomane
Profil
No to je hezká rada a co mam tedy dělat ? nemůžu to tam nechat jen tak ?

Musí být na to nějaký způsob, jak tu stránku projít a vir odhalit ?
han5vk
Profil
Prejavuje sa nejako ten "vír" ? JS/redir logicky naznačuje len to, že je tam nejaký javascript ktorý niečo presmerováva. To zvyčajne nemusí byť vôbec vírus, záleží na tom, kde to presmerováva. Skús si tu stránku normálne v prehliadači spustiť a pozrieť sa do kódu v prehliadači, hlavne na <script>y, prípadne inak začlenený JS.
Tomane
Profil
No ono se něco stalo aj s CMS, ten editor, kde jsou ikony velikosti písma, barva písma, vložit obrázek a další, ten přestal v adminu najednou fukgovat :-(


A CMS nezpbrazuje žádný html kód ??
han5vk
Profil
Netuším čo to máš za CMS, netuším aký máš editor kde sú veľkosti písma a neviem čo. Ako to myslíš, že CMS nezobrazuje žiadny HTML kód?
Tomane
Profil
No pokud mám zobrazit html kód normál celé sránky, tak to sem udělal a nevidím tam nic podezřelého :-(


No púrostě když vkládáš na web třeba novinku , tak klikneš v CMS na nová novinka a otevře se okno, kam se to píše a vkládá.
Nad tím oknem jsou různé ikony, kde se třeba pomocí ikony vloží obrázek, do něj odkaz, nebo se nastaví velikost textu, barva atd.
A tyhle ikony mi zmizly :-( Je tam jen okénko a nad nim nic.
lorin
Profil
Jaký používáš CMS? Jakou verzi? Jaké doplňky? Po čem začala editace článků/novinek blbnout? Odkaz by nebyl?
Tomane
Profil
No lorin, to je CMS v podstatě neznámá, dělal ji ten, kdo dělal stránky. Ona ale léta fungovala a teď najednou tenhle problém. Kdy, nebo po čem začala blbnout, to nevím, ničeho jsem si nevšiml. Neni to ani Joomla, ani Wordpress. A jaký odkaz ? na co bys chtěl odkaz ?
Tori
Profil
Tomane:
A tyhle ikony mi zmizly :-( Je tam jen okénko a nad nim nic.
A nezablokoval AVG nějaký JS soubor, případně nesmazal ho? Tj. není v AVG uvedeno, jaký soubor přesně obsahuje ten virus, třeba když byste si dal zkontrolovat celý adresář s tím webem? (předpokládám teda, že to máte na lokálním disku a hlásí vám to tam)
Tomane
Profil
Ne ne Tori, tohle nejelo už předtím, avg jsem nainstaloval až po , když už to v CMS nešlo. Jinak avg odkazuje na stránku http://alu.plast.cz/cms/index.php?a=home.

Obsah stránky jsem stáhnul ke mě do PC a když ho dám projít AVG, tak to nic nenajde, ale přímo na webu okamžitě ukáže při registraci do CMS tuhle hrozbu.
Samotná stránka je ok, tam nikde nic nehlásí a neidentifikuje žádnou hrozbu, pouze při registraci do CMS.


Bohůžel víc podrobností jsem z AVG nevyčetl, tedy už vůbec né konkrétní soubor :-(

Ani ONLINE scannery na webove stránky nic ani jeden nenašly, ale AVG huláka a CMS blbne :-(
pavuk
Profil
Tomane:
A jaký odkaz ? na co bys chtěl odkaz ?
Možná trochu překvapivě na stránky, se kterýma máš problém...
Tomane
Profil
Však na ty stránky odkaz byl už ihned v první zprávě.

www.alu.plast.cz
Tori
Profil
Tomane:
Jsou to dvě různé chyby (i když můžou souviset):
1. rozbitý JS editor
- tady by se právě hodil odkaz přímo na ten editor. Nedá se udělat aspoň kopie stránky? Formulář + připojené všechny JS, ale formulář se klidně může odesílat na neexistující adresu. Jen aby se ten JS dal zkontrolovat v konzoli.
- když vypnete AVG, přihlásíte se do CMS a zkusíte např. přidat novinku, editor stále nefunguje?

2. AVG hlásí virus na stránce s přihlášením (anebo registrací?)
- projevuje se to i v jiném prohlížeči? (je možnost, že to způsobuje nějaký doplněk prohlížeče)
- zkoušel jste už radu [#4] han5vk? (já AVG nemám, takže netuším, co to je za hlášku)
Tomane
Profil
Tori moc děkuji za odpověď,

1,

- Kopii udělám rád, ale nevím jak to přesně udělat. Nicméně nějaký odkaz posílám v PM.
- Když vypnu AVG, editor opravdu nefunguje

2,

AVG hlásí virus na stránce s přihlášení do CMS

- ano, projevuje se to v Opeře i firefoxu, IE nepoužívám
- radu jsem zkoušel, kód jsem si otevřel, ale nějak jsem v něm neviděl nic špatného, ale nejsem odborník moc,
tak se třeba pletu


Aha tak tady nejde poslat asi PM, tak leda to doladit na ICQ nebo skype ??
Tomane
Profil
Tak zjišťuji, že stejnou hlášku hlasí AVG při jakémkoliv pohybu v CMS. Například při přidávání novinky to hodí adresu té novinky a že je v ní taky stejny JS/redir, čili to je asi v celé CMS :-(


Ale je zajímavé, že ani jeden ONLINE scan nenajde nikde nic a že to testuji asi v 4, či 5. I když zadám přímo adresář, kde je CMS :-(
Rfilip
Profil
Tudíž ten JS/redir je v nějakém js scriptu administrace, online scany ten soubor nenajdou protože vidí jen přihlašovací stránku a testují jenom soubory v ní zmíněné.
Tori
Profil
Zkuste pohledat, kde je v JS řetězec "location" a kdy / jak se to volá. (= vlastnost window.location)
Tomane
Profil
Teď trošku nerozumím TORI ? Co nebo kde mám hledat ?


Rfilip, to si já myslím taky že je to v nějakém scriptu adminu, ale jak ho najdu ??
Tori
Profil
V js scriptech najít slovo "location". Zjistit, v jaké je funkci, odkud se ta funkce volá.
Tomane
Profil
no dal jsem prohledat celé FTP , kde je ta stránka na slovo location, tak uvidíme
lorin
Profil
Omlouvám se, jestli jsem vás špatně pochopil, ale nemáte hledat soubor location. Máte hledat soubor, který obsahuje slovo location. Protože window.location v JS přesměrovává na jinou stránku.
Tomane
Profil
function p(){q.remove(n);if(s){s.onreadystatechange=s.onload=s=null}u()}n=q.uniqueId();if(a.isIE6){o=new a.util.URI(m);r=location;if(o.host==r.hostname&&o.port==r.port&&(o.protocol+":")==r.protocol){a.util.XHR.send({url:a._addVer(o.getURI()),success:function(x){var t=q.create("script",{type:"text/javascript"});t.text=x;document.getElementsByTagName("head")[0].appendChild(t);q.remove(t);p()}});return}}s=q.create("script",{id:n,type:



Našlo to toto...
Kajman
Profil
Tomane:

Pokud máte zálohu souborů administrace, porovnejte ji se stavem na ftp. Pokud ji nemáte, kontaktujte hosting nebo člověka, co to programoval, třeba ji udělal alespoň on.
Tomane
Profil
No je otázka v jakém souboru z těch co jsou v adresáři JS ?


Kajman, to je problém, zálohu nemám a ten kdo stránku dělal se mi už nehlásí a prej programuje někde v zahraničí, takže si musím jedině poradit sám :-(


V JS mám toto :




Ale všechno toto bylo měměno naposled v roce 2010, takže nevím, jestli tady někde může být ten JS/redir
Amunak
Profil
Nejlepší by bylo, kdybys nám (třeba i někomu soukromě) tady z diskuze poslal přihlašovací údaje do té administrace, ať se na ten kód může podívat někdo, kdo mu rozumí. Možná je to jen false positive.
Tomane
Profil
Mě stačí nějaká přesnější konkrétní rada a projdu to i sám.


Aha tak je tam ještě toto :

.onAdd.dispatch(this,e,d);return d},load:function(h,e,d,g){var f=this;if(f.urls[h]){return}if(e.indexOf("/")!=0&&e.indexOf("://")==-1){e=b.baseURL+"/"+e}f.urls[h]=e.substring(0,e.lastIndexOf("/"));b.ScriptLoader.add(e,d,g)}});b.PluginManager=new b.AddOnManager();b.ThemeManager=new b.AddOnManager()}(tinymce));(function(j){var g=j.each,d=j.extend,k=j.DOM,i=j.dom.Event,f=j.ThemeManager,b=j.PluginManager,e=j.explode,h=j.util.Dispatcher,a,c=0;j.documentBaseURL=window.location.href.replace(/[\?#].*$/,"").replace(/[\/\\][^\/]+$/,"");if(!/[\/\\]$/.test(j.documentBaseURL)){j.documentBaseURL+="/"}j.baseURL=new j.util.URI(j.documentBaseURL).toAbsolute(j.baseURL);j.baseURI=new j.util.URI(j.baseURL);j.onBeforeUnload=new h(j);i.add(window,"beforeunload",function(l){j.onBeforeUnload.dispatch(j,l)});j.onAddEditor=new h(j);j.onRemoveEditor=new h(j);j.EditorManager=d(j,{editors:[],i18n:{},activeEditor:null,init:function(q){var n=this,p,l=j.ScriptLoader,u,o=[],m;function r(x,y,t){var v=x[y];if(!v){return}if(j.is(v,"string")){t=v.replace(/\.\w+$/,"");t=t?j.resolve(t):0;v=j.resolve(v)}return v.apply(t||this,Array.prototype.slice.call(arguments,2))}q=d({theme:"simple",language: 
Tomane
Profil
Tori, je to to zprávné location ? Jiné jsem v tom JS nenašel ? Přesněji řečeno jsem jich našel několik a je otázka, které je to ono ??

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: