[3.8.0]

Захожу сегодня на форум, и вижу:

Code:

Unable to add cookies, header already sent.
File: /111/22222/public_html/forum/index.php
Line: 1

При этом название окна в IE отображается крякозябрами.

Сделал бекап index.php, пересохранил оригинал в UTF-8. Эффект тот же.

Убрал в конце файла пустую строчку - тоже не помогло.

Первые строки в index.php

Code:

<script type="text/javascript" src="show_ads_15.js"></script><?php
/*======================================================================*\
|| #################################################################### ||
|| # vBulletin 3.8.0 - Licence Number тра-та-та
|| # ---------------------------------------------------------------- # ||

Посмотрел заголовок в другом но старом форуме, исправил первую строчку в index.php, получилось:

Code:

<?php
/*======================================================================*\
|| #################################################################### ||
|| # vBulletin 3.8.0 - Licence Number тра-та-та
|| # ---------------------------------------------------------------- # ||

Проверил - теперь всё как прежде.

Собственно вопрос:
1. Что это было?
2. Что делает та штука которую я вырезал?
3. Не побьётся ли у меня база из-за внесённой правки?

Заранее, большое спасибо!

1. Если хостинг бесплатный, то скорее-всего они решили таким образом вставить свою рекламу. Но могли и взломать. Если хостинг, то уходить от них, если нет, проверять всех имеющих доступ к ftp антивирусами, менять пароли, не сохранять их в клиенте. Ну и show_ads_15.js удалить.
2. Судя по названию, пыталась вставить рекламу, но, возможно, и совсем не рекламу.
3. Нет.

не должно быть ничего вообще перед тегом <?php
если это сделал кто то с хостинга, что бы вставить рекламу, то там пионЭры, от таких валить надо срочно
если делал взломщик, читай выше, он такой же пионЭр, если незнает, что пхп файл не будет работать в таком виде и сразу это сразу станет явным, что файл редактировался
если это делал какой то сторонний скрипт (опять же от возможного взломщика), который подставляет в начало файла свои строки, то скрипт корявый, почему, читай выше, если уж и добавлять что то свое в пхп файл, что бы это никто не заметил, то в конец файла и что то в этом роде:

PHP Code:

?><?php print '<script type="text/javascript" src="show_ads_15.js"></script>'; ?>

===
но я больше склоняюсь к тому, что сайт/форум пытались ломануть
скрипт от гугля выглядит так show_ads.js

Спасибо за ответы. Удивительно. На том же хостере стоит старая 3.6 вобла и ничего такого небыло ни разу за 3 года, а тут 3.8 буквально пару недель стоит и уже прилепилась какая-то лабуда. В день когда появилась эта лишняя строчка кроме перезаливки некоторых кнопок на FTP и редактирования названия сайта через админку - ничего не делал. Буду искать откуда ноги растут.

Скрипты стоят только эти:
Imageshack & MEGAUPLOAD Uploader
KX - Spider Permissions

Гуано добавил 14.02.2009 в 17:13
Скачал этот show_ads_15.js
Посмотрел дату создания... вчера в 17.15 (я вчера вообще на хост не заходил)

Проверил 2008 касперским... обнаружено: HEUR:Trojan.Script.Iframer

Это дата центр червивый?

Гуано добавил 14.02.2009 в 20:24
Вобщем отправил тело скрипта в Лабораторию Касперского. Получил ответ:

Quote:

Здравствуйте,

show_ads_15.js_ - Trojan-Downloader.JS.Iframe.aic

Детектирование файла будет добавлено в следующее обновление.