Взломаны сайты клиентов и размещены ссылки с Сапы. Будьте осторожны.

Чтобы вирусный код по украденным ФТП втыкали я такое слышал, но чтобы sape, слышу впервые.

1. Уже было замечено, что сначала должна модерация сапы пройти. Т.е. меняли код раза 2 минимум.

Смотрите время добавления папочки с уникальным саповским кодом (это похоже когда первый раз было затило это дело) и время изменения шаблона или index.php в котором стоит стиль дисплей:ноун с вставкой php сапы. Это должно быть похоже на время второго редактирования, когда модерация пройдена.

По этому времени можно ориентироваться при поиске метода и источника атаки.

2. Далее зная время, идете к админу (к надежному админу, а то если это они и сделали, то следы все скроют :)) ). Они должны предоставить логи доступа к серверу по ФТП, вплоть до того, что IP по которому были подключения в это время. Это уже кое-что. Что делать с IP и как узнать окуда подключались, думаю можно попытаться выяснить.

3. то что в сапу написали, это хорошо. Если чел захочет вывести деньги, то ему могут их не дать. Попробовать достать IP с которого регился пользователь в сапе и сделать соответствующие выводы. Конечно, саповцы кому попало такую и другую информацию не дадут, но наверняка есть исключения, например как в Вашем случае.

4. Так как вы предполагаете, что сервак был взломан, можно и даже нужно заяву написать в милицию.

Причем, если будет понятно что выяснить не удастся, то можно про заяву вслух в комнате админов сказать, может кто испужается и все же честно признается. такое тоже бывает.

Дело на самом деле серьезное.

Но в вашем случае подозреваю, что это сделал кто-то из ваших!!! С большой долей вероятности. Иначе, саповцы уже всем бы уже рассказали о таких мошенниках и предупредили бы усех.

Блин ну чего вы тормозите.

Заражается комп.

Раз в инетрвал времени с компа тянутся логи.

Далее логи разгребаются на предмет асек, ФТП аков, мыл и т.д.

Все, есть фтп доступ - можно вешать сапу РУКАМИ. С чего вы взяли то что автоматом это происходит?

Дубль.......

могли и хостинг взломать. Или движок. Тут множество векторов нападения.

И какой олень будет вешать сапу таким образом, напрямую подставляясь по действие Уголовного кодекса РФ? Ну до кучи можно еще скан своего паспорта в саповскую папку положить.

И это ..., мы не тормозим. Тормозит кто-то еще.

Насчет прав не знаю, а папка была, в ней links.db. Мы уже погрохали все.

Нет, Agava

Эээ... просто предположил. Может и руками.

Прокси - для Вас открытие наверное будет :)) ?

Аккаунты в сапе и вебманях анонимны, все что можно сделать, так это заблокировать их и попытаться в логах найти хоть какую то зацепку. При хорошей технической подготовке и серьезном подходе к делу злоумышленника, вычислить его нереально.

А в чем подстава? Про ВПС не слышали ничего?

кстати, а за display:none сапа не должна была заблокировать сайт в сапе?

ps интересно так же как к этому яндекс относится