Это ж надо было... взломали

parnishka2009 parnishka2009   18.12.2012 21:43   454  
Ребят, помогите, кто может! Взломали утром мой любимый сайт. (< hacked by Evil Hacker >)

Целый день попыток все почистить, восстановлений из бекапов и прочих танцев с бубном пока ничего не принес.В конце концов вообще сложилась такая ситуация, что в файловом диспетчере панели хостинга показывает один набор файлов (с уже удаленным сайтом полностью), а при доступе по FTP все остается так, как было утром. Я вроде бы спокойно ко всему отнесся, но сейчас уже на грани просто... Спасибо за любую оказанную помощь. сайт kvn - os com ЦМС - Вордпресс. 

Ответы на вопрос (19) Написать ответ
Kill-Mee Kill-Mee   18.12.2012 21:55
меняйте пароли, обновите фтп, звгрузите бекап и все окей
0
parnishka2009 parnishka2009   18.12.2012 22:01
Эх, если бы так легко все. Что делать, если в ФТП и Панели разная информация? От чего вообще такое может быть?
Даже данные доступа к хостингу разные - через ФТП проходит старый пароль, ав панель захожу уже по новому. Хотя они должны быть одинаковы. Может ли быть, что панель тупит из-за хостера?
0
parnishka2009 parnishka2009   18.12.2012 22:07
Если у кого-то есть дельный совет - отблагодарю по мере возможности и дельности
0
Lestor Lestor   18.12.2012 22:18
Обновите WP, запросто может быть дыра какая. Ну и про очищенный бекап не забывайте
0
parnishka2009 parnishka2009   18.12.2012 22:28
Ну я бы так просто не писал, если бы это был обычный взлом. Как обновить WP? В админку не пускает, в панели обновил, по ФТП обновил - ОП, и вдруг по ФТП опять показывает начальную картинку.
0
seobelarus seobelarus   18.12.2012 22:37
вы главное бэкап слейте рабочего сайта... обновите на локале цмс, смените данные на хостинге все или же смените хостире и все, делов то
0
seobelarus seobelarus   18.12.2012 22:41
+проверить элементарно компютер, все чистите, меняйте, но главное слейте пока не поздно рабочую версию сайта, а лучше несколько версий за разные дни
0
parnishka2009 parnishka2009   18.12.2012 22:41
Бекап слил, на это почти полдня ушло)) Проблема в том, как сменить данные на хостинге, если непонятно, работает ли панель хостера или нет... По сути так - я меняю в панели, скажем, имя БД и пароль, а в реале ничего не меняется - по новому паролю через ФТП не могу зайти. Так бы уже давно разрешил вопрос - благо, бэкап БД есть недельной давности... Поэтому и спрашиваю у знающих - из за чего так панель может себя вести.
0
seobelarus seobelarus   18.12.2012 22:43
думаю на последний вопрос вам только хостер ответит, а пока я бы порекомендовал переехать к другому, ибо со стороны это уже не нормально с его стороны
0
parnishka2009 parnishka2009   18.12.2012 23:35
Спасибо, война продолжается!
0
coretek-ru coretek-ru   19.12.2012 03:56
seobelarus:и что это решит? какая разница на каком хостинге сайт, если ломают через дырку в движке? ведь все пользователи у нас в cageFs (аналог chroot), лишние небезопасные функции в php отключены, и даже если бы были включены, то дальше окружения namespace юзер не выйдет. как насчет этого? Это не правильно - давать советы, не владея сутью вопроса, о котором говорите.
0
erema erema   19.12.2012 03:56
seobelarus:
Господа, переезд ничего ровным счетом не решит :)
Какая разница на каком хостинге сайт, если ломают через дыру в движке? На данный момент у нас все пользователи в cageFs (аналог chroot), лишние небезопасные функции в php отключены, и даже если бы были включены, то дальше окружения namespace юзер не выйдет.
К сожалению, заставить пользователей вовремя обновлять скрипты, полностью и абсолютно невозможно. В итоге получаем то, что имеем.
0
mav123 mav123   18.12.2012 23:53
Какая тут может быть оказана помощь? Посочувствовать? Сочувствую.
По всем остальным вопросам - долбить поддержку хостера.
К слову, что за хостер?
1
parnishka2009 parnishka2009   18.12.2012 23:59
serverside.
Додолбился до такого ответа: У Вас ворпресс движек? Их массово ломают в последнее время.
СПАСИБО ЗА ПОМОЩЬ КЭП)
Да я подумал - вдруг кого-то так же ломали. Так то оно понятно, что помочь ничем нельзя. Блин, сайт так люблю свой, только-только начал монетизировать (2,5 года растил). И на тебе...
0
mav123 mav123   19.12.2012 00:03
так что за хостер?
0
mav123 mav123   19.12.2012 00:04
а, увидел вверху
0
mav123 mav123   19.12.2012 00:06
serverside.ru - этот?
0
parnishka2009 parnishka2009   19.12.2012 00:21
у них сервер переезжал, из-за этого по разному отображался ФТП и панель. А я чуть седым не стал от такой магии... Сейчас должно побыстрей все пойти)
Да, этот хостер.
0
erema erema   19.12.2012 03:30
Доброй ночи. Суппорт серверсайда не спит, ищет в гугле ответы и натыкается на ваши сообщения.
Какие то нехорошие люди прошлись по всем вордпрессам на хостинге и сделали инъекции куда можно было это сделать.
Если гуглить "hacked by Evil Hacker", то вылезают не только сайты на нашем хостинге, но и на других так же.
Еще момент - были испоганены ТОЛЬКО wordpressы.
Все это радует нас в том смысле, что это не у нас увели root-пароли и не взломали глобально хостинг. Иначе это было бы фатально.
Касательно ситуации с вордпрессом: открывайте базу данных через phpmyadmin и ищите все включения "Evil", особенно в таблице wp_options. Отобразится что то вроде "+ADw-/title+AD4-hacked by Evil hacker+ADw-DIV style+AD0AIg". Нужно вместо этого бреда вписать свои данные и почистить кеши вордпресовских плагинов, если такие используются. После этого сайт оживет.
Следующим шагом делаем срочные апдейты движка, плагинов, используемой темы.
Если какие то темы и плагины не используются - потрите их.
Если у кого то есть уточнения, то просим поделиться ими с общественностью.
0

Войдите, чтобы написать ответ
Вход Регистрация

Гарант сделок продажи и покупки сайтов, всего за 5%.