похачели сайт. как лечить и как защитить

[dead_star]

сетуация следующая
уже второй раз за последние 2 месяца похачели одни из моих сайтов
в связи с этим необходимо что-то сделать
что я имею в виду под словом похачели
в некоторые страници сайта добавиели js код который загружает сторонний сайт

сайты которые взломали друг с другом никак не связаны
находятся на разных серверах, на разных операционках(win & linux) и сервера стоят в разных частях города

возникает вопрос как злоумышленик смог записать данные в файлы сайта
насколько мне известно это нельзя сделать через браузер
по моему мнению это делалось както через ftp или чтото подобное

естественно возникает вопрос как защитить сайты от таких атак

и третье в результате этой атаки сайт попал в бан. как его оттуда вытащить

ps если надо могу привети примеры js кода

[k0t]

Себя проверьте антивирусом в первую очередь и измените пароли на ФТП.

[dead_star]

Цитата: Сообщение от k0t Себя проверьте антивирусом в первую очередь и измените пароли на ФТП.

ну это-то все понятно первым делом сделал
это так сказать оказание первой помощи
теперь осталось вылечить больного

[Fenyx]

Цитата: Сообщение от dead_star ну это-то все понятно первым делом сделал это так сказать оказание первой помощи теперь осталось вылечить больного

Руцями, обычно эта хрень заражает файлы main, index, также некоторые пхп, кажисть все хтмл. Может положить на сайт експлоит, смотри пхп скрипты особенно неизвестные по имени. Лекарство мной было найдено одно - перевод где возможно на секур ФТП + ограничение на логин с диапазона айпишников + реинстал системы на которой велась разработка. Также было подозрение что эта дыра тотал командера - снес его и уже не пользуюсь. Одно время долго боролся с этой хренью.

[temporary_user]

чтобы лечить, надо знать от чего ты лечишься
это я к тому, что сначала надо определить через какую именно дырку залезли, и её закрыть.
также поинтересуйся у прова может какие локальные эпидемии есть и не только твои сайты ломают...если так, то может пров хоть как-то поможет.

а конкретного способа по защите дать невозможно, ибо только ты знаешь какой софт у тебя там стоит и как оно всё настроено
вообще в нете полно манов по поводу обезопашивания веб-серверов

p.s. от себя добавлю - интуиция мне подсказывает что на обоих серваках ты мог юзать одинаковые пароли, следовательно основа проблемы может лежать именно в нестойких паролях (ну это так, мысли вслух )

[dead_star]

Цитата: Сообщение от temporary_user p.s. от себя добавлю - интуиция мне подсказывает что на обоих серваках ты мог юзать одинаковые пароли, следовательно основа проблемы может лежать именно в нестойких паролях (ну это так, мысли вслух )

учетные записи на серверах разные
отличается логин и пароль
и код взломщика в обоих случаях разный

в последнем случае сайт висел на хостинге
но взломали только этот сайт, другие не трогали
вероятней всего ломали либо через ftp учетную запись вебмастера
или целью хакера был только конкретно этот сайт

есть мысль что просто сетку прослушали и выцепили логин и пароль от фтпшной учетки

осталась еще одна нерешенная проблем
сайт находится в бане, как его оттуда вытащить
сами понимаете что так оставлять нельзя
ссылка: http://mmms.ru/

[Fenyx]

Цитата: Сообщение от dead_star учетные записи на серверах разные отличается логин и пароль и код взломщика в обоих случаях разный в последнем случае сайт висел на хостинге но взломали только этот сайт, другие не трогали вероятней всего ломали либо через ftp учетную запись вебмастера или целью хакера был только конкретно этот сайт есть мысль что просто сетку прослушали и выцепили логин и пароль от фтпшной учетки осталась еще одна нерешенная проблем сайт находится в бане, как его оттуда вытащить сами понимаете что так оставлять нельзя ссылка: http://mmms.ru/

Причина бана?
Если имеется ввиду что гугля говорит что сайт возможно заражен - ждать переиндексации, если реально бан, то искоренять причину бана, за скрипты в бан не кидают )) ну и в любом случае, если бан - убирать все сцылкопомойки, любую серую и черную оптимизацию и подавать запросы на вывод из бана - только так ))

[dead_star]

Цитата: Сообщение от Fenyx Если имеется ввиду что гугля говорит что сайт возможно заражен

если лесть через гугль сообщение "Предупреждение- посещение этого сайта может нанести вред Вашему компьютеру!"
напрямую открываю ссылку через фокс, там черный экран и красный алерт Reported Attack Site!
напрямую через ие нормально открывается, без алертов

[Fenyx]

Цитата: Сообщение от dead_star если лесть через гугль сообщение "Предупреждение- посещение этого сайта может нанести вред Вашему компьютеру!" напрямую открываю ссылку через фокс, там черный экран и красный алерт Reported Attack Site! напрямую через ие нормально открывается, без алертов

Убрать код и ждать переиндексации

[temporary_user]

а что за скрипт?
часом не какой нить последний эксплойт? (типа http://www.securitylab.ru/vulnerability/382197.php)

зараженный портал, начинает сам заражать других..за это и могли забанить. ну а как решить эту проблему совет уже дали