Имя: Пароль:
IT
Веб-мастеринг
Знатокам Ubuntu + Apache2 + Joomla 1.5 (не грузятся картинки)
,
0 sergeante
 
19.10.11
10:58
Внезапно (клянутся, что ничего не делали с сервером) перестали отображаться некоторые картинки на сайте и грузится некоторые скрипты.

В апачах и убунтах не силён.

Наглядно покажу.

Корень сайта:

http://gyazo.com/bf5ef8f68a30c177f4ca0aac1e3f6046.png

Заходим, н-р, в самый первых товар (Велотренажер ALTITUDE PEC-1735) и посмотрим прямой путь неотобразившейся картинки:

http://gyazo.com/c4beceb81720522a6c2a6f8ff5d541cb.png

Возможно картинки нет на сайте? Идём на фтп:

http://gyazo.com/89df31d62cb3f6000cb72642c2cac749.png

Проверял, имя файла и путь 100% совпадают побайтно. Причём у всех папок и картинок стоит доступ на чтение для всех (644).

Посмотрим в лог апача, там при попытки доступа к картинки появляется запись:
"GET /components/com_virtuemart/shop_image/product/resized/_________________4d6b5dd8e95b7_90x90.jpg HTTP/1.1" 200 168

Видим код ошибки 200, т.е. с файлом всё хорошо, но вот размер (168 байт) меня насторожил. Детальный просмотр лога показал, что все проблемные картинки имеют этот же размер. Более того, такой размер и у накоторых скриптов. Из-за этого не работает часть плагинов.

В общем апач (Джумла?) подсовывает вместо файла какой-то непонятный контент размером 168 б. Сохранил ссылку как объект и глянул его содержимое:
--
<html>
<head><title>404 Not Found</title></head>
<body bgcolor="white">
<center><h1>404 Not Found</h1></center>
<hr><center>nginx/1.0.6</center>
</body>
</html>
--

Что-то подменяет оригинальный контент, подсовывая страничку 404. Не вирус вроде бы. Клянутся что ничего не ставили, ничего не меняли, и "с утра всё работало". Причём проявляется только на некоторых компонентах и по определённым путям.
И ещё подозрение, что это проявилось ещё на одном сайте в этом же хостинге.

Многа букв, но хотел наглядно описать проблему, знаю как тут некоторые вопросы спрашивают. Что посоветуете?
1 zak555
 
19.10.11
11:00
это не vps ?
2 sergeante
 
19.10.11
11:02
(1) отдельная машина конкретно для наших проектов. Стоит за стеной, так что имею прямой доступ если чо.
3 Kreont
 
19.10.11
11:03
Может глючит: Кеширование джумли, nginx-а...
Есть возможность включить без кеширования?
4 Lionee
 
19.10.11
11:04
так у вас один апач или вместе с nginx как фронтэнд стоит ?
5 zak555
 
19.10.11
11:04
выруби все плагины
6 sergeante
 
19.10.11
11:07
упоминание nginx/1.0.6 тоже настораживает. при чём тут он. походу это жостко прописано гдето. Кстати как вариант поискать вхождение "nginx/1.0.6" в скриптах.
7 Lionee
 
19.10.11
11:10
так вы определитесь апач рулит или nginx или вместе
8 Kreont
 
19.10.11
11:10
(6) Его в скриптах не будет, nginx-только помогает кешировать, можно временно оключить его вроде без последствий, разве что скорость малость упадет загрузки страниц.
9 sergeante
 
19.10.11
11:12
нет nginx близко. Апач2 стоит.
10 Lionee
 
19.10.11
11:21
>>Внезапно (клянутся, что ничего не делали с сервером
тогды смотреть логи кто что делал .
11 Kreont
 
19.10.11
11:23
+(10)командой history :)
12 sergeante
 
19.10.11
16:23
Разобрался с траблой.
Вследствии жизнидеятельности вируса в каталог /components/ прописался .htaccess с содержанием

RewriteEngine On
RewriteRule ^(.*)$ /plugins/system/scroller.php?id=$1 [L]

(кстати на другом сайте scroller.php прописался по другому пути)

Соответственно все запросы уходили на "левый" скрипт scroller.php с параметром id

Сам скрипт обфусцирован по гланды. По логу прокси с него запросы переадрессовывались на сайт http://static-xhtml2.com/referat/www.далее_домен.ru/путь_к файлу

Это ГЕТ запросом. А что передавалась ПОСТ запросом логи прокси мну не показали естесственно. Возможно чтото важное улетало к подонкам-хацкерам.

Вопщем, будьте бдительны.
13 Kreont
 
19.10.11
16:26
(12) Интересно...,
уже искали/разобрались как вирус на сайт попал?
14 filh
 
19.10.11
16:29
интересно, а как он в Ubuntu работал...
15 sergeante
 
19.10.11
16:32
(14) походу поимел пароль на фтп на вынь-машине
16 Ангел- Хоронитель
 
19.10.11
19:51
(12)чушь. это стандартный скрипт, чтобы на другие сайты картинки с твоего не вставляли. кто-то своими кривыми ручонками полазил, не понимая, что творит.
17 sergeante
 
20.10.11
09:49
(16) чушь. Покажи мне в стандартной поставке джумлы файл scroller.php. И почему он обфусцирован, и на кой шлёт данные на  левак http://static-xhtml2.com ?
18 zak555
 
20.10.11
10:07
(12) так в (5) что я тебе говорил ?
19 zak555
 
20.10.11
10:07
(14) тупо запросы с клиентских машин рассылает
20 sergeante
 
20.10.11
10:21
(18) а при чём тут плагины?
21 zak555
 
20.10.11
10:22
(20) /plugins/

???

т.е. как бы намекается, откуда ноги растут
22 sergeante
 
20.10.11
10:29
+(21) возможно возможно. но если мерзавец злоумышленник, то при отключении плагина он бы вряд ли очистил .htaccess  и scroller.php

а скроллер я вчера руками деобфускорсил до читаемого состояния, если интересно кому, выложу
23 zak555
 
20.10.11
10:32
(22) просто недавно с подобной шнагой стокнулся
только цмсКа была wordpress

дело было в плагине
AdBlock убивает бесплатный контент. 1Сергей