Deface - насколько опасно?

Сменить все пароли, на фтп, на хостинге итд.. так же постараться устранить уязвимости в движке..

если хакер имеет доступ в к фтп, то в его руках весь сайт. т.к чаще всего в цмс конфиг.данные не шифруются а следовательно можно слить базу данных вместе с сайтом.

Ну стандартный совет - это обновить систему управления контентом. Далее по логам попробовать найти как и что ломали или куда пробовали зайти кулхацкеры. И если обновления не закрывают уязвимость, то вносить изменения в код самостоятельно.

Думаю без программера, который умеет работать с данной CMS, будет трудновато.

Кроме того, по моему Savahost писал скрпт для поиска по системе всякого рода веб-шеллов. Тоже желательно поискать. Ну и вообще посмотреть сайт на наличие лишних скриптов и так далее.

Кроме того, может проблема не в взломе сайта, а компьютере на котором хранятся пароли доступа к сайту (фтп/админской части). Они могут быть банально уведены трояном или каким-нить кейлоггером.

Это то что подсказывает здравый смысл, я думаю ещё меня дополнят :)

Спасибо за быстрый отклик!

Взял доступ к админке, посмотрел. Там в папке files кроме загружаемых jpg к новостям оказалась пачка пхп файлов с кодом турецких кулхацкеров, права на папку были 777.

Поменял на 755 ну и пхп файлы левые поудалял.

дальше они вроде не добрались.

В статистике такие вот точки входа:

сайт.ru/?category=1'%20or+union+select+1,version(),3,4,5,6,7,8,9,10

сайт.ru/?category=1'%20or+union+select+1,2,3,4,5,6,7,8,9,10

сайт.ru/files/redbypass.php

сайт.ru/files/r67.php

Попытка поиметь пароли или что? :)

дубль дубль

Имхо не стоит сильно рассчитывать на статистику, т.к. грамотный хакер все равно стер бы нежелательные посещения.

А этот файл был? Если нет, то лучше удалите его, т.к. могли оставить Шелл, тогда смена пароле не поможет, т.к. хакер будет иметь открытый доступ к Вашему сайту, независимо от пароля.

P.S. А главная истина это бэкап и обновления софта.

почему то продублировалось сообщение

это попытка найти уязвимость в недостаточной защите sql (sql-injection) . Если такая уязвимость найдена, то дальше могут быть разные варианты в зависимости от структуры базы. Как один из вариантов пароли.

update:

первый запрос - это попытка узнать версию MySQL. Второй непонятно что :) По логике они должны поменяться местами. Сначала узнаём количество столбцов, а потом уже ищем версию. Хотя в свете тго, что это популярная CMS - смысл второго запроса вообще теряется..

deepslam, ну товарищ не особо шарящий, доверил все пароли, грит пивасом зальет, если починю :D

Просто сам не сталкивался, решил поинтересоваться у спецов.

Мои действия были такие:

1. бекап

2. поменял права на папках

3. поудалял левые пхп файлы

4. просмотрел основные папки и файлы на посторонние предметы :)

Все правильно сделал?

Сейчас все работает.

А по статистике: промониторил ливинтернетовскую. Там заходы с одного айпи, с турецкого. По вышеуказанным ссылкам.

10 дублей.....

так и есть, это из стата ливинтернета, новые точки входа по времени - сверху

Кстати, в папке files был "файл.sql"

кильнул, не посмотрев что там...