Требуется специалист по безопасности - взломали сайт и хостинг

Ни грамма не удивлён, что так произошло.

Судя по сообщению ТС (или чей это сайт) - сам по себе большая дыра в безопастности.

Почему?

ТС. Просьба не обижаться, а сделать выводы.

Во первых сейчас к тебе повалит куча всяких нехороших людей, желающим получить доступ на сервер (они-то уже просекли квалификацию и отношение). А определить кто есть кто ты не сможешь (читай ниже).

Во вторых искать нужных людей нужно как минимум в разделе "администрирование" а не как уж в разделе "вебстроительсто". А вообще - правильней найти людей в реале. Если нет возможности - искать на спец форумах. Только именно искать людей, а не вывешивать обьяву с призывом - "хакните меня ещё много раз". Смотреть на рейтинг людей, читать их посты и тд.. И писать в личку. Откажут - можно попросить, чтобы кого-нибудь рекомедовали. И опять - смотреть на рейтинг, читать посты, писать в личку. Да долго, да не легко. Но ведь у нас всегда так - "пока жаренный петух не клюнет".

Отсюда - в третьих. Правильный вебмастер беспокоиться о безопасности заранее и постоянно. Неговоря, о том что админ нужен ДО того как наступит критический момент, - нужно следить за патчами своих ЦМС. А судя из поста, это врядли делалось.

Это в кратце. Так сказать тех.минимум. На самом деле выводов после прочтения поста гораздо больше.

ТС, совет: не хочешь проблем - не принимай никого по этому посту. Ищи сам админов.

Попробуйте самостоятельно разобраться с логами. Если у вас cms, то поспрашивайте на официальном форуме, а может там уже аналогичная проблема обсуждалась. Посмотрите базу данных, нет ли там сомнительных юзеров или суперадминов. Проверьте даты обновления php-файлов. Посмотрите коды доступа, всем php-файлам поставьте 644, проверьте - какие файлы появились за последнее время, особенно в папках с 777 доступом. Почистите, 777 замените на 755, отпишите хостеру. Как разблокируют - временно запретите регистрации, проверьте код - нет ли там чего подозрительного. И постепенно функционал восстанавливайте.

Если файл был изменен через FTP, то:

1. Проверить свой FTP-клиент антивирусом

2. Поменять пароль на FTP

3. Перезакачать поврежденный файл

Если файл не был изменен через FTP, то:

1. Произвести аудит кода на предмет возможности взлома (SQL-инъекции, XSS-атаки) - тут Вам действительно понадобится специалист

2. Уточнить у хостера все ли нормально с правами доступа к Вашим файлам и папкам, а также нет ли проблем с настройками ПО (например отключение safe_mode в PHP, и т. п. при неграмотном администрировании может привести к тому что другие клиенты хостинга смогут модифицировать Ваши страницы)

3. Сделать выводы по результатам п.п. 1 или 2

Предложите ру-центру самим предоставить специалистов и оплатить их работу.

сомневаюсь что руцентр такие сообщения рассылает. могло быть фишинговое сообщение, на которое вы ответили какими-то воодами паролей и т.д., их получил тот кто собственно и отправил фишинговое письмо и пароли сменил..

после получения первого письма и до смены паролей вводили где-то свои пароли?

гы! меня разбанили!)))

- всегда считал что РуЦентер занялся не своим делом, начав продавать хостинг, они и в плане продажи доменов не все сделали (список обслуживаемых зон явно меньше чем у конкурентов) и в плане хостинга на профессиональный уровень еще не вышли (мое IMHO).

Пишите в личку, помогу с вопросом если еще актуально.

Специализируюсь по проверкам сайтов 3 года.

Дам полный отчет и рекомендации по устранению.

Проверка не тупо в лоб программами, а квалифицированная по разным векторам уязвимостей.

Покажите что там за x.x.x.x ? обратный адрес действительно support@nic.ru и вы с ними несколько раз переписывались?

Похоже на фишинг через ftp.

Обратитесь на ыecuritylab.ru форум