Как вернуть сайт?

Мой сайт взломали. Можно ли как-то вернуть его? Все файлы на сервере вроде на месте и т.д. Где-то читала, что возможно надо убрать какую-то строку в каком-то фале. Взываю к вашей помощи. Только пожалуйста не отправляйте меня к факу. Срочно надо решить проблему.

 

открой фтп сайта и посмотри файлы по датам изменения - измененные в районе предположительной даты взлома открой и посмотри - найдешь левое - удаляй

 

doctorgrif, а как посмотреть файлы по датам изменения? Я использую FileZilla.

 

под окошком "удаленный хост"
колонка "Последнее изменение"
для блондинок (без обид, но чтоб подробнее) 4-я слева (считаем с "Имя файла") или 3-я справа (считаем с "Владелец/Группа")

 

doctorgrif, большое спасибо

 

всё еще не нашла причину. По датам посмотрела, все как-бы с ними нормально вроде. Нигде нет изменений в предположтельную дату взлома. Вот когда я на свой сайт захожу меня перекидывает на эту страницу http://site.mynet.com/hacked.leon - мол хакнуто. Полагаю, что надо в файлах где-то поискать вот эту строку. Только вот где именно искать......без понятия

 

У меня вообще в последнее время не раз таким способом взламывали сайт. Пытаюсь защитить как-то, не получается. И как вернуть сайт не знаю, хотя база и файлы всё на месте стоит. Приходилось заново устанавливать сайт, благо базу и т.д. сохраняю.

 

А линк на твой сайт можно глянуть?
А вернуть - нужно перелопатить весь код - посмотреть даты изменения.... Проще сделать снимок инфы (ну базы данных) - потом по чистому поставить Джумлу - и потом вернуть снимок

 

воть http://www.33land.lv =]

 

Not Found

The requested URL / was not found on this server.

А в чем собственно заключается взлом? Опишите симптомы.

 

http://www.google.ru/search?q=33land.lv&ie=utf-8&oe=utf-8&aq=t&rls=org.mozillaofficial&client=firefox-a
тут видим оф кеш
и страницу хакера зачемто пачкающего своими дияниями ислам (падонак!)
http://turk-h.org/defacement/view/311395/33land.lv/

http://64.233.183.132/search?q=cache:0SqC5KDPaT4J:33land.lv/+33land.lv&hl=ru&ct=clnk&cd=1&gl=ru&client=firefox-a
тут мы видим что joomla 1,5 ветки.....

из нестандартных расширений
видим только галерею и гостевую книгу
такчто искать нужно впервую очередь в папках
com_easygb
com_phocagallery


ну и от хаккера
Attack Technics : Domain Hack
Attack Reason : Gövde Gösterisi

то что описанно в причине атаки я так и не понял
явно не славянин

 

хм, интересно. спасибо за инфу! буду копать.

Добавлено через 4 минуты

регуест - это тк я имя папки для сайта изменила на время, что бы люди не заходили на страницу хакера ))

по поводу взлома - все папки лежат на хостинге в целости, база тоже никуда не пропала, но при заходе на мой сайт, сразу идет перенаправление на страницу хакера..мол взломано. вот.. И я без понятия как они вообще пробрались к моему сайту, и как в дальнейшем его защитить.

 

это дифейс мадама
через
com_easygb
com_phocagallery
он может и проник
а вот изменил скорее всего index.php
или конфиг файл

если index.php был доступен группе apache или просто был доступен 775
то ищите там
иначе скорее всего конфиг
ибо многие забывают сделать его недоступным для записи
ну и накрайняк если там жесткое перенаправление ройте .htaccess

после нахождения изменённого файла
фильтруй логи на предмет его изменения
на предпологаемую дату
если через php system($cmd) то запросы get

ну и самое страшное сплоит ветки 1,5

 

перекопала все. опять ничего =Р слушайте дорогие, может ктото из вас мог бы залезть на мой фтп и посмотреть что там за еундовина? м?

 

Нутк, никто не мог бы мне помочь? Я бы дала пасс и логин и вы бы разобрались там. Очень прошу вас.

 

скинь index.php встудию
и ещё
globals.php
configuration.php
includes/joomla.php
/includes/frontend.php
/templates/'. $cur_template .'/index.php (ваш шаблон)
и .htacsess
всё зипаннное

 

вот

хм..а вот этого у меня вообще нет

globals.php
/includes/frontend.php

 

1 файлы неполные
незакрытые ?> php скобки
2 файл шаблона смотрите внимательно 1 строка:
<meta http-equiv="Refresh" content="0;url=http://site.mynet.com/hacked.leon/"> сайт хацкера

 

если база данных целая то рекомендую
заменить все файлы кроме расширений (невходящих в инсталпакет) тоесть гостевую книгу итп
восстановить файл шаблона из инстала шаблона который использовался ранеее на вашем сайте
запустить сайт
далее скачать все логи
отфильтровать все записи касающиеся компонентов невходящих в инсталпакет joomla
особенно если в запросах проскакивают строки которые явно используют команды замены файлов wget и прочие системные команды линукс
и которые в качестве директории использовали директорию шаблона
там же вы увидете через ккакой бажный файл производились команды system

явное указание на то что в какомто скрипте есть дырка и иммено из него хаккер наносил урон это права и принадлежность группе апач

это всё при условии что вы сильно не ковыряли движок

 

infoman, Девушка явно попросит все это сделать тебя, ибо не уверен я, что в силах она все это сделать сама