Это ж надо было... взломали

Question

Это ж надо было... взломали

Ребят, помогите, кто может! Взломали утром мой любимый сайт. (< hacked by Evil Hacker >)

Целый день попыток все почистить, восстановлений из бекапов и прочих танцев с бубном пока ничего не принес.В конце концов вообще сложилась такая ситуация, что в файловом диспетчере панели хостинга показывает один набор файлов (с уже удаленным сайтом полностью), а при доступе по FTP все остается так, как было утром. Я вроде бы спокойно ко всему отнесся, но сейчас уже на грани просто... Спасибо за любую оказанную помощь. сайт kvn - os com ЦМС - Вордпресс.

0

взлом

Ответы на пост (19) Написать ответ

Быстрая регистрация для ответа Войти

Answer 1

Kill-Mee

71

18.12.2012 21:55

меняйте пароли, обновите фтп, звгрузите бекап и все окей

0

Answer 2

Эх, если бы так легко все. Что делать, если в ФТП и Панели разная информация? От чего вообще такое может быть?
Даже данные доступа к хостингу разные - через ФТП проходит старый пароль, ав панель захожу уже по новому. Хотя они должны быть одинаковы. Может ли быть, что панель тупит из-за хостера?

Answer 3

Если у кого-то есть дельный совет - отблагодарю по мере возможности и дельности

Answer 4

Обновите WP, запросто может быть дыра какая. Ну и про очищенный бекап не забывайте

Answer 5

Ну я бы так просто не писал, если бы это был обычный взлом. Как обновить WP? В админку не пускает, в панели обновил, по ФТП обновил - ОП, и вдруг по ФТП опять показывает начальную картинку.

Answer 6

вы главное бэкап слейте рабочего сайта... обновите на локале цмс, смените данные на хостинге все или же смените хостире и все, делов то

Answer 7

+проверить элементарно компютер, все чистите, меняйте, но главное слейте пока не поздно рабочую версию сайта, а лучше несколько версий за разные дни

Answer 8

Бекап слил, на это почти полдня ушло)) Проблема в том, как сменить данные на хостинге, если непонятно, работает ли панель хостера или нет... По сути так - я меняю в панели, скажем, имя БД и пароль, а в реале ничего не меняется - по новому паролю через ФТП не могу зайти. Так бы уже давно разрешил вопрос - благо, бэкап БД есть недельной давности... Поэтому и спрашиваю у знающих - из за чего так панель может себя вести.

Answer 9

думаю на последний вопрос вам только хостер ответит, а пока я бы порекомендовал переехать к другому, ибо со стороны это уже не нормально с его стороны

Answer 10

parnishka2009

1

18.12.2012 23:35

Спасибо, война продолжается!

0

Answer 11

seobelarus:и что это решит? какая разница на каком хостинге сайт, если ломают через дырку в движке? ведь все пользователи у нас в cageFs (аналог chroot), лишние небезопасные функции в php отключены, и даже если бы были включены, то дальше окружения namespace юзер не выйдет. как насчет этого? Это не правильно - давать советы, не владея сутью вопроса, о котором говорите.

Answer 12

seobelarus:
Господа, переезд ничего ровным счетом не решит :)
Какая разница на каком хостинге сайт, если ломают через дыру в движке? На данный момент у нас все пользователи в cageFs (аналог chroot), лишние небезопасные функции в php отключены, и даже если бы были включены, то дальше окружения namespace юзер не выйдет.
К сожалению, заставить пользователей вовремя обновлять скрипты, полностью и абсолютно невозможно. В итоге получаем то, что имеем.

Answer 13

Какая тут может быть оказана помощь? Посочувствовать? Сочувствую.
По всем остальным вопросам - долбить поддержку хостера.
К слову, что за хостер?

Answer 14

serverside.
Додолбился до такого ответа: У Вас ворпресс движек? Их массово ломают в последнее время.
СПАСИБО ЗА ПОМОЩЬ КЭП)
Да я подумал - вдруг кого-то так же ломали. Так то оно понятно, что помочь ничем нельзя. Блин, сайт так люблю свой, только-только начал монетизировать (2,5 года растил). И на тебе...

Answer 15

mav123

1073

19.12.2012 00:03

так что за хостер?

0

Answer 16

mav123

1073

19.12.2012 00:04

а, увидел вверху

0

Answer 17

mav123

1073

19.12.2012 00:06

serverside.ru - этот?

0

Answer 18

у них сервер переезжал, из-за этого по разному отображался ФТП и панель. А я чуть седым не стал от такой магии... Сейчас должно побыстрей все пойти)
Да, этот хостер.

Answer 19

Доброй ночи. Суппорт серверсайда не спит, ищет в гугле ответы и натыкается на ваши сообщения.
Какие то нехорошие люди прошлись по всем вордпрессам на хостинге и сделали инъекции куда можно было это сделать.
Если гуглить "hacked by Evil Hacker", то вылезают не только сайты на нашем хостинге, но и на других так же.
Еще момент - были испоганены ТОЛЬКО wordpressы.
Все это радует нас в том смысле, что это не у нас увели root-пароли и не взломали глобально хостинг. Иначе это было бы фатально.
Касательно ситуации с вордпрессом: открывайте базу данных через phpmyadmin и ищите все включения "Evil", особенно в таблице wp_options. Отобразится что то вроде "+ADw-/title+AD4-hacked by Evil hacker+ADw-DIV style+AD0AIg". Нужно вместо этого бреда вписать свои данные и почистить кеши вордпресовских плагинов, если такие используются. После этого сайт оживет.
Следующим шагом делаем срочные апдейты движка, плагинов, используемой темы.
Если какие то темы и плагины не используются - потрите их.
Если у кого то есть уточнения, то просим поделиться ими с общественностью.

Это ж надо было... взломали

Похожие посты

Анализ сайта