|
Знатокам Ubuntu + Apache2 + Joomla 1.5 (не грузятся картинки) | ||
|---|---|---|---|
|
0
sergeante
19.10.11
✎
10:58
|
Внезапно (клянутся, что ничего не делали с сервером) перестали отображаться некоторые картинки на сайте и грузится некоторые скрипты.
В апачах и убунтах не силён. Наглядно покажу. Корень сайта: http://gyazo.com/bf5ef8f68a30c177f4ca0aac1e3f6046.png Заходим, н-р, в самый первых товар (Велотренажер ALTITUDE PEC-1735) и посмотрим прямой путь неотобразившейся картинки: http://gyazo.com/c4beceb81720522a6c2a6f8ff5d541cb.png Возможно картинки нет на сайте? Идём на фтп: http://gyazo.com/89df31d62cb3f6000cb72642c2cac749.png Проверял, имя файла и путь 100% совпадают побайтно. Причём у всех папок и картинок стоит доступ на чтение для всех (644). Посмотрим в лог апача, там при попытки доступа к картинки появляется запись: "GET /components/com_virtuemart/shop_image/product/resized/_________________4d6b5dd8e95b7_90x90.jpg HTTP/1.1" 200 168 Видим код ошибки 200, т.е. с файлом всё хорошо, но вот размер (168 байт) меня насторожил. Детальный просмотр лога показал, что все проблемные картинки имеют этот же размер. Более того, такой размер и у накоторых скриптов. Из-за этого не работает часть плагинов. В общем апач (Джумла?) подсовывает вместо файла какой-то непонятный контент размером 168 б. Сохранил ссылку как объект и глянул его содержимое: -- <html> <head><title>404 Not Found</title></head> <body bgcolor="white"> <center><h1>404 Not Found</h1></center> <hr><center>nginx/1.0.6</center> </body> </html> -- Что-то подменяет оригинальный контент, подсовывая страничку 404. Не вирус вроде бы. Клянутся что ничего не ставили, ничего не меняли, и "с утра всё работало". Причём проявляется только на некоторых компонентах и по определённым путям. И ещё подозрение, что это проявилось ещё на одном сайте в этом же хостинге. Многа букв, но хотел наглядно описать проблему, знаю как тут некоторые вопросы спрашивают. Что посоветуете? |
||
|
1
zak555
19.10.11
✎
11:00
|
это не vps ?
|
||
|
2
sergeante
19.10.11
✎
11:02
|
(1) отдельная машина конкретно для наших проектов. Стоит за стеной, так что имею прямой доступ если чо.
|
||
|
3
Kreont
19.10.11
✎
11:03
|
Может глючит: Кеширование джумли, nginx-а...
Есть возможность включить без кеширования? |
||
|
4
Lionee
19.10.11
✎
11:04
|
так у вас один апач или вместе с nginx как фронтэнд стоит ?
|
||
|
5
zak555
19.10.11
✎
11:04
|
выруби все плагины
|
||
|
6
sergeante
19.10.11
✎
11:07
|
упоминание nginx/1.0.6 тоже настораживает. при чём тут он. походу это жостко прописано гдето. Кстати как вариант поискать вхождение "nginx/1.0.6" в скриптах.
|
||
|
7
Lionee
19.10.11
✎
11:10
|
так вы определитесь апач рулит или nginx или вместе
|
||
|
8
Kreont
19.10.11
✎
11:10
|
(6) Его в скриптах не будет, nginx-только помогает кешировать, можно временно оключить его вроде без последствий, разве что скорость малость упадет загрузки страниц.
|
||
|
9
sergeante
19.10.11
✎
11:12
|
нет nginx близко. Апач2 стоит.
|
||
|
10
Lionee
19.10.11
✎
11:21
|
>>Внезапно (клянутся, что ничего не делали с сервером
тогды смотреть логи кто что делал . |
||
|
11
Kreont
19.10.11
✎
11:23
|
+(10)командой history :)
|
||
|
12
sergeante
19.10.11
✎
16:23
|
Разобрался с траблой.
Вследствии жизнидеятельности вируса в каталог /components/ прописался .htaccess с содержанием RewriteEngine On RewriteRule ^(.*)$ /plugins/system/scroller.php?id=$1 [L] (кстати на другом сайте scroller.php прописался по другому пути) Соответственно все запросы уходили на "левый" скрипт scroller.php с параметром id Сам скрипт обфусцирован по гланды. По логу прокси с него запросы переадрессовывались на сайт http://static-xhtml2.com/referat/www.далее_домен.ru/путь_к файлу Это ГЕТ запросом. А что передавалась ПОСТ запросом логи прокси мну не показали естесственно. Возможно чтото важное улетало к подонкам-хацкерам. Вопщем, будьте бдительны. |
||
|
13
Kreont
19.10.11
✎
16:26
|
(12) Интересно...,
уже искали/разобрались как вирус на сайт попал? |
||
|
14
filh
19.10.11
✎
16:29
|
интересно, а как он в Ubuntu работал...
|
||
|
15
sergeante
19.10.11
✎
16:32
|
(14) походу поимел пароль на фтп на вынь-машине
|
||
|
16
Ангел- Хоронитель
19.10.11
✎
19:51
|
(12)чушь. это стандартный скрипт, чтобы на другие сайты картинки с твоего не вставляли. кто-то своими кривыми ручонками полазил, не понимая, что творит.
|
||
|
17
sergeante
20.10.11
✎
09:49
|
(16) чушь. Покажи мне в стандартной поставке джумлы файл scroller.php. И почему он обфусцирован, и на кой шлёт данные на левак http://static-xhtml2.com ?
|
||
|
18
zak555
20.10.11
✎
10:07
|
(12) так в (5) что я тебе говорил ?
|
||
|
19
zak555
20.10.11
✎
10:07
|
(14) тупо запросы с клиентских машин рассылает
|
||
|
20
sergeante
20.10.11
✎
10:21
|
(18) а при чём тут плагины?
|
||
|
21
zak555
20.10.11
✎
10:22
|
(20) /plugins/
??? т.е. как бы намекается, откуда ноги растут |
||
|
22
sergeante
20.10.11
✎
10:29
|
+(21) возможно возможно. но если мерзавец злоумышленник, то при отключении плагина он бы вряд ли очистил .htaccess и scroller.php
а скроллер я вчера руками деобфускорсил до читаемого состояния, если интересно кому, выложу |
||
|
23
zak555
20.10.11
✎
10:32
|
(22) просто недавно с подобной шнагой стокнулся
только цмсКа была wordpress дело было в плагине |
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|