verdachte iframe

Hallo!

Ik krijg van mijn werkgever te horen dat een van de website's door ons gemaakt, dat er op de beheer login pagina 2 iframes staan met een link die verwijzen naar een website waar volgens kaspersky malware te vinden is.

het gaat om de volgende code:

De klant is de enige die het wachtwoord weet, en er is verder niets op de server gezet door personeel.
Momenteel kan ik niet in de FTP om te controleren wanneer de bestanden zijn aangetast en hoeveel het er zijn omdat de provider waar de site gehost staat de ftp gegevens opnieuw genereert en toestuurt.

Iemand enig idee waar en hoe deze code op de website zou zijn gekomen? sql injection maby?

we maken gebruik van een eigen cms systeem. wat achter een versleutelde pagina zit.
Ook hebben we een WYSIWYG editor, maar die is alleen beschikbaar achter het cms..

verder op de site (voorkant) komt het iframe nergens voor.
Alleen op de beheer pagina.

Ik heb nog niet ingelogd wegens veiligheidsrisico.

SKiLLa schreef op dinsdag 09 oktober 2012 @ 16:57:
Injection is goed mogelijk. Maar kan ook gewoon met FTP gebeurd zijn. Ik zou in ieder geval de klant informeren en z'n wachtwoord resetten en dan de CMS en FTP logfiles naspitten ...

Ik heb net op de server gekeken via FTP, en er zijn meerdere bestanden aangepast op dezelfde datum en tijd. en hier bevind de volgende code:



Het probleem is nu verholpen.
De wachtwoorden voor de ftp en het cms zijn gewijzigd.

Nu hopen dat het zich niet nog een keer voordoet!

EDIT:

Zo te zien blijk #c3284d# #/c3284d# waar de schadelijke code tussen staat vaker voor te komen op internet!

[ Voor 8% gewijzigd door Noctonix op 10-10-2012 10:47 ]