В код сайта вставляется инородный скрипт "Антиспам".

Скорее всего вам оставили php-шелл, который позволяет менять файлы просто обращаясь к этому скрипту, а не через ftp.

Поставить могли в один момент времени, хоть год назад, а пользоваться начать в другой. Так что нельзя уверенно установить связь между временем модификации файлов и взломом.

Каждый хакер стремится выдумать что-нибудь свое в данном вопросе для затруднения очистки. В том, что вы не нашли похожих случаев нет ничего удивительного.

Общих рецептов не так много можно придумать .

Для начала, если у вас vps, попробуйте "стабилизировать" все файлы отдав их в собственность root (chown) и запретив модификацию (chmod). Ужасно некрасиво, но что-то же надо делать.

Иногда помогает пройтись по всем файлам сайта обычным десктопным антивирусом. Они могут находить и веб-шеллы.

Чтобы имитировать заход из google, можно в первых строчках скрипта изменить переменные $_SERVER. Другой информации о посетителе вредоносному коду на php просто неоткуда взять.

Не менее важный вопрос найти каким образом этот веб-шелл возник. Если через ftp - это еще считайте повезло. Просто поменяете пароль. Но если через логическую проблему в коде сайта, то никаких рецептов уже не выписать. Нужно искать эту проблему анализируя действия злоумышленников по логам.

Тут еще местный Андрейка обычно вспоминает про mod_security. При отсутствии других идей и невозможности установить точно каким образом залили шелл, тоже сойдет в качестве защиты. Но в общем случае сайт под mod_security эксплуатировать и разрабатывать неудобно.

netwind, спасибо за ответ.

На форуме phpBB был найден файл images.php в котором был видимо вредоносный скрипт, который мог изменять файлы на сервере. Скорей всего была проблема в этом. Как теперь латать phpBB и что они могли еще с помощью дырок натворить - непонятно.

Гугли уязвимости для версии твоего движка.

В диру аплода закинь htaccess c запретом на открытие .php, html и т.д. файлов:

Установить последнюю стабильную версию?

Что могли натворить и что с этим делать - подробно написали выше.

Для своего кода - лучше всего использовать систему контроля версий. Все каталоги/файлы в ней не содержащиеся - не должны иметь возможность запуска скриптов (т.е. всякие временные директории, каталоги со статикой). Так вы модификации обнаружите сразу.

Да и для стороннего кода, который мало меняется (тот же PHPBB) - эта методика подойдет. Собственно, некоторые дистрибутивы предустанавливают известные движки CMS/форумов на уровне системы в целом. Можно этим пользоваться.

И зверушка назавтра зальет новые "прелести"? Нет уж. Проверяйте офисный/домашний компьютер на вирусы и меньше по порнушным/варезным сайтам шастайте.

Только если ТС _ясно_ понимает все ньюансы такого способа "защиты" и все его последствия. Если кратко: проще найти шелл чем настроить mod_security так, чтобы он не был постоянной занозой в заднице. Хотя, позднее это время может и окупиться...

У меня просто набор правил которые подходят под 98%

Стандартные конечно будут занозой

Andreyka, если вы изменили стандартные правила, то изменился и "уровень защиты". стандартные правила хотя бы специалисты собирали. а вам кто поверит? может ваши правила ничего особо не блокируют ?

Я тоже специалист и мне верят.

ну хоть не mod_security, уже по другому стал писать Андрюха :)

Как вы получили это число?

Если это был такой аргумент, то он плохонький. Некоторые и Мавроди верят.