подскажите по проблеме на хостинге

Если троян на компе это видно будет видно по логам ФТП. Когда массовый взлом то страдает больше одного клиента - со стороны хостера это легко отследить но правды он конечно в случае влома не скажет.

Хотя если Вас ломают а хостер не выгнало вас нафиг - это повод задуматься :)

на отдельном аке у хостера висит 1 самописный сайт на кохане (ифрейм) и ему так же перезаписывают .htaccess ...

на другом акке висит 3 дле сайта на 9.8 ... перезаписывают из 3 только 1....

такое впечатление, что они посомтрели посещалку и дописывают только туда где больше 1 к трафика...

также разное размещение самого кода, тоесть очень похоже что пишут ручками, так как в одном файле спрятали в самый низ кода (сделали штук 20 интеров), в другом воткнули между оригинальным кодом. В первый раз все было дописано строго в конец каждого файла.

разница во времени изменений файлов на разных акках хостинга 2 минуты.

Скажем так - у меня на хостинге вы бы получили лог: процессом с каким Pid и именем, в какой момент и из под каких прав производилось изменение файла.

Ибо у меня используется достаточно сильно перепиленое ядро.

На страндартном ядре таких данных в лоб вы не получите, и если это взлом со стороны хостера - правду все равно не узнаете.

та мне как бы не правда нужна, код не провисел и 30 минут, так что сайты под санкции яндекса не попали. Хотелось бы избежать повторения подобного в будущем...

взял два бекапа от 1 марта и от 27 марта аккаунта на котором висит 1 сайт с коханой, сравнил все пофайлово - отличия только в логах и файле кеша самой коханы.... все файлы идентичны, новых нет...

и выяснилось что файл .codepage в корне ранее отсутствовал, то есть он создается при несанкционированой перезаписи файла .htaccess в корне домена.

существует ли вероятность что у хостера на шареде каким-то образом можно лазить между аками ?

Это можно узнать на немодифицированном ядре. Ибо функционал уже вшит в PHP.

---------- Добавлено 27.03.2013 в 15:47 ----------

Абсолютно верно. Вам нужен VPS + админ. Чтоб не зависеть от хостера.

Да, функционал вшитый в php очень поможет узнать что файл был залит через scp.....

Чтоб зависеть от админа.. 😂 И ещё от другого админа, который админит ноду (в общем случае, ведь, они не обязательно совпадают)

MonkX, тут в разделе по большей части можно узнать мнения хостеров.. А они не учитывают, что не все хостеры одинаково полезны ответственно относятся к своим клиентам.. Есть и такие, кто ломанные панели ставит.. и permitRootLogin оставляет по дефолту.. и бэкапы выкладывает..

Если хостер пойдёт навстречу в организации эксперимента (проверить заливку шелла на разные аккаунты) - можете попробовать...

Если нет - можно мониторинг поставить.. чтоб проверял каждые Х минут файл на изменение и письмо слал.. как только изменится - поддержку попросить, чтоб логи глянули..

Хотя, далеко не каждый хостер (да и вообще, не каждый человек) готов признавать свои ошибки.. Здесь, кстати, есть представители, признающие и исправляющие свои ошибки...

только небольшая оговорка, впс +админ будет обходиться в месяц примерно 75-100$ при этом впс в этой связке будет около 30...

я плачу в сумме 20 за 2 максимальных пакета на шареде абузоустойчивого хостинга.... получается что бы не зависеть от хостинга надо платить в 5 раза больше ...

хостер в основном продает впсы и вдсы, соответственно к своему шареду относится без особого рвения...

Хостер прислал расшифрованный файл шела, типа разбирайтесь сами что он модифицирует и как работает....

Для scp есть логи, которые позволяют узнать, с какого ip прошла авторизация. Только при чем тут php?

---------- Добавлено 27.03.2013 в 18:00 ----------

Если ваши сайты не окупают их размещение - предлагаю их тогда продать.

сайты окупят и 5-10 впсов вместе с админами, другой вопрос имеет ли смысл платить 1к+ $ в год админу + еще и за впс... за 3-4 сайта с посешалкой не боле 3к на каждом.

10-20% прибыли отдавать за размещение таких сайтов немного не выгодно...