взлом сайта http://ktovpoezde.ru/

очередной взлом на сайте http://ktovpoezde.ru/
профи могут подсказать, как это исправить , т.е как взломали и как защитить ?

сменить хостера!

Не храни пароли в FTP менеджерах и жестком диске.

А как именно взломали?
Какие симптомы? Всё удалили с фтп? Или влезли через админку?

lezginka.ru:

как защитить ?

Пароли на папки, доступ к серверу только с определенных IP.

Вопрос: а к хостеру обращался, смотрел логи?

может он?
http://club.itdrom.com/profile-15950.html
Предлагаю посадить

Anonimus:

Предлагаю посадить

поддерживаю предыдущего оратора. нах их всех посажать шутников!
пиши заявление и вся любовь.

fuze[drums:

] Anonimus: Предлагаю посадить поддерживаю предыдущего оратора. нах их всех посажать шутников! пиши заявление и вся любовь.

да тут в Дагестане за убийство могут не принять заявление ни то, что за взлом сайта :(

Вопрос: а к хостеру обращался, смотрел логи?

а хостеру сообщу.

А как именно взломали? Какие симптомы? Всё удалили с фтп? Или влезли через админку?

все на месте(вроде бы), поменяли индекс и появились еще какие-то файлы

может он? club.itdrom.com/profile-15950.html Предлагаю посадить

похоже,точно не знаю.

lezginka.ru:

все на месте(вроде бы), поменяли индекс и появились еще какие-то файлы

Значит влезли не через фтп, а через саму CMS что-то иженкнули.

Смотри что происходило последнее время, чтобы понять где уязвимость. Далее смотри логи сервера. Пиши хотсеру.
Бекапся. Ставь пароль на админ папку, также почитай на счет безопасности, устрани дыру в FCK, если еще не убрал. Также закрыть доступ юзерм на заливку файлов, т.к. там по-моему есть дыры.

Значит так, что мы имеем:
1. По адресу http://ktovpoezde.ru/ находиться взломанный сайт.
2. На этом сайт оставлены некоторые координаты, а именно: Ник взломщика - GuRU-eX, и адрес сайта-Hack-world.org
3. Идем на сайт Hack-world.org, регистрируемся, ведем активно на форуме, и находим пользователя с ником GuRU-eX.


Последние данные:

Пользователь GuRU-eX был на сайте: 20.08.2010 г. т.е. сегодня, насколько я понимаю сегодня же был взломан сайт.
В качестве связи с ним можно использовать аську. он оставил свой номер аськи: 20002862, его зовут Владом.


Что можно сделать:
1. Пойти на выше указанный сайт Hack-world.org, и написать жалобу админу сайта на пользователя GuRU-eX.
2. Если админ не среагирует писать хостеру сайта Hack-world.org и ставить вопрос об о прекращении оказания услуг данному сайту, предоставив все доказательства вины этого сайта. Если хостер не согласиться угрожайте ему радиом, телевидением, и газетами, а также полной антирекламой в интернете.



P.S. Я уж очень люблю детективы

А какая версия Инстанта была на взломанном сайте?

Дима:

1. Пойти на выше указанный сайт Hack-world.org, и написать жалобу админу сайта на пользователя GuRU-eX.

GuRU-eX и есть админ.

Дима:

2. Если админ не среагирует писать хостеру сайта Hack-world.org и ставить вопрос об о прекращении оказания услуг данному сайту, предоставив все доказательства вины этого сайта. Если хостер не согласиться угрожайте ему радиом, телевидением, и газетами, а также полной антирекламой в интернете.

Хостерам (90%) просто все равно, лишь бы порно не размещали! У него нет причины отключать клинета, который платит, и тем более нет оснований.
А предложение смешит. Помню раньше кто-то взламывал сайты и на главной писал: "Сайт взломали китайцы!" В таком случае надо будет обращаться в посольство Китая?! :)

Единственной - это смотреть логи, искать в них. Тем более, что не по фтп ломали, а саму ЦМС, значит логи не потерли. После этого жаловаться провайдеру (владельцу IP взломщика) и в соотв. органы с предъявление ЛОГОВ и других доказательств. Без этого даже разговаривать никто не станет.

Alex 4er:

Хостерам (90%) просто все равно, лишь бы порно не размещали!smileУ него нет причины отключать клинета, который платит, и тем более нет оснований. А предложение смешит. Помню раньше кто-то взламывал сайты и на главной писал: "Сайт взломали китайцы!" В таком случае надо будет обращаться в посольство Китая?! :) Единственной - это смотреть логи, искать в них. Тем более, что не по фтп ломали, а саму ЦМС, значит логи не потерли. После этого жаловаться провайдеру (владельцу IP взломщика) и в соотв. органы с предъявление ЛОГОВ и других доказательств. Без этого даже разговаривать никто не станет.

Полностью согласен. И все равно надо с этими взломщиками как-то бороться.

Бороться и искать уязвимости, а потом закрывать их. Может сайт не обновлялся и не чистился после появления Instant заплатки? Совсем недавно вроде заплатка появлялась.
Кроме того надо посмотреть какие модули на сайте применяются и искать уязвимости в них. Может флаш-какие-то модули есть и через них инъекция прошла. Искать надо. Одних логов в качестве доказательств недостаточно. Ну заходил, ну и что? Если инъекция, то в логах об этом ничего не будет на сервере, а если еще и посещаемость высокая, то и вообще кто конкретно инъекцию сделал не разберешь.
Сбор доказательств это хорошо, но их нужно достаточное количество, однозначно указывающих на конкретного человека, а это уже сложно. Многим спецслужбам для сбора таких доказательств требуется не один месяц времени , так у них и возможности побольше и полномочия. Так что в данном конкретном случае надо искать сначала уязвимость и закрывать ее, а затем уже отслеживать новые поползновения. Плюс столько раз подряд - неспроста, может кто из знакомых гадит?

такое ощущение что в этой теме люди говорят сами не понимая о чем....
о каких уязвимостях идет речь? приведите пример хотя бы одной, а так же ее реализация?
Не мутите воду. Взломали сайт, потому что администратор сайта халатно отнесся к вопросу безопасности. виноват сам владелец сайта, никто больше!

fuze[drums:

] Не мутите воду. Взломали сайт, потому что администратор сайта халатно отнесся к вопросу безопасности. виноват сам владелец сайта, никто больше!

А я вот к тому и подвожу . Если не по ftp, то как еще? Только через сайт, а точнее через какие-то левые модули