Здравствуйте у меня проблема, есть вероятность что мой сайт взломали. Ситуация такая, мне написал друг что мой сайт открывается и сразу же перекидывает на moroki.net а потом на operafile.net или отображается тупо фон сайта с текстом типа «document location moroki.net/2?». Я поменял шаблон и заменил корневой .htaccess, который был явно много чем набит (при открытии его оказалось что там много белеберды оказалось), вроде исчезло, сайт стал открываться без всяких перекидываний, но на мобильных устройствах осталась проблема. Я решил проверить загрузку сайта с айпода, зашел на свой сайт, сайт грузиться, как сразу загрузился, так сразу же перекидывает на moroki.net а потом operafile.net и сразу же я появляюсь на странице яндекса. Пробовал чистить кэш сайта и куки, но не помогло. Не знаю что надо делать, и каким это образом произошло, где надо рыться в файлах шаблона или в файлах движка?

Добрый день. Развернули LS на VPS. Посещаемость ресурса 3-4 тысячи
человек в день. В среднем онлайн 128 человек, бывает и по 300.
Сервер VPS (2000 MHz CPU / 1 Gb RAM). Периодически сайт выкидывает
ошибку 504. Хотя онлайн сайта не превышает 50 человек. А бывает
когда онлайн 300 и все просто «летает» без проблем. Обратился в сапорт, сказали что сервер перегружен кучей скриптов, оперативка забита… Сегодня вечером сайт стал выкидывать эксепшн, мол не могу подключиться к БД! Через какое-то время от хостера пришло письмо, что на нашь сервер постуила жалоба:

We have detected a hack attempt originating from your network from ip: 46.254.21.129

This suggests that the above server has been compromised and is a participant in a botnet.

This means that this server has been hacked and now, in turn, is attempting to hack other servers on the Internet.

This IP address has now been blacklisted to protect our service from further brute force attacks. Furthermore, this IP address has been uploaded to DenyHosts' centralised database. This means that this IP address will also shortly be blacklisted by any member who queries DenyHosts' central database.

Тут же сервер заблокировали… Обратились обратно в сапорт с просьбой разобраться, в ответ написали лишь «меняйте пароли». Через 10 минут сервер опять стал выкидывать эксепшены, после обращения в сапорт нам ответили, что сервер или ддосят или большой наплыв пользователей(впринципе в тот момент действительно ОЖИДАЛСЯ наплыв пользователей, однако статистика посещений говорила о 35 человеках за последние 15 минут). Еще через какое-то время, после пары «ласковых» с хостером, сайт перестал отвечать или выдавал 504. В сапорте ответили:

В настоящий момент, у вас 170 открытых содеинений. Брута никакого нет. Смените все пароли. Сейчас нагрузку дает вебсервер.

Сейчас пять утра, онлайн составляет ~150 человек на сайте никаких проблем не обнаружено…

Как вообще можно оценить такую ситуацию?

Совпадение?!?..



1. Предложение по проведению аудита безопасности (20.05.2011)

2. Взломан сайт (24.05.2011)

Конечно вчерашний день но тем не менее есть сайт на LS 0.3.1. Такой вопрос, обнаружил пользователя, ну явный спамер, ну пес с ним спамеры были и будут… Но его нет в БД сайта, в phpmyadmin просматриваю всех пользователей, задаю поиск по ID, по нику, по Email — его там просто нет, а на сайте он есть и в админ панели есть. Что это? очередной взлом? Прошу пояснить знающих людей как такое вообще может быть… Могу представить скриншоты и даже доступ к сайту чтобы разобраться что это за мистика.

Произвёлся взлом сайта.
Причин много, а вот как он это сделал непонятно.
Взломщик видимо казахстанец ибо его текст на главной говорит об етом.
Так как я уже стёр все его файлы, остался только текст. Но если загуглить hacked by C37HUN то можно увидить ещё несколько жертв. Дак к чему я, как он залил эти файлы? Через панель управления хостингом нереально =\ и есть ли ещё жертвы на этом сайте? Есть ли грубо говоря ДЫРЫ в движке, потому что не торт каждый раз удалять его файлы. И ещё, как можно узнать остались ли файлы которые не принадлежат движку, в данном случае его файлы.
Спасибо за ответы.

Такое сообщение пришло на почту:

Здравствуйте!

Уведомляем вас о закрытии в LiveStreet 0.4.2 уязвимости, с помощью которой потенциально можно было получить права администратора сайта.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 — livestreetcms.com/download/get/
Либо внести изменения вручную:
1. Откройте файл /classes/actions/ActionProfile.class.php
2. Найдите строчку №522: protected function SubmitAddFriend($oUser,$sUserText,$oFriend=null) {
3. Сразу после нее вставьте строчку (только если её у вас еще там нет): $sUserText=$this->Text_Parser($sUserText);
В итоге должно получиться следующее:
protected function SubmitAddFriend($oUser,$sUserText,$oFriend=null) {
$sUserText=$this->Text_Parser($sUserText);
$oFriendNew=Engine::GetEntity('User_Friend');

Мы настоятельно рекомендуем вам выполнить эти действия.
Спасибо за понимание.

С уважением, команда LiveStreet CMS

Сразу зашел на офф. сайт посмотреть про это и тут ничего об этом не написанно.
Вопрос, это реально какой-то баг фикс или пытаются сайт ломануть?

Забрался сегодня на свой сайтик, сделанный на ls. И о ужас — из облака тегов все мои исчезли, а вместо них появились

* бримстон
* жир
* змейка
* Продовольствие
* промышленность
* сыр

ЭТО КАК??!
Взломали? Баг? Фича?

Заранее огромное спасибо.

upd:
Фото как должно быть.


Фото с глюком.

Кто нибудь знает реально действенный метод борьбы с iframe. Ну задолбали уже честное слово. В последнее время поменял пароли на фтп, поставил права на все файлы index, config, main, на сайте в 444, на компе стоит лицензионный KIS 2010, работаю с сайтом преимущественно из под ubuntu. Но вот недавно буквально на 5 минут изменил права index."*" и config."*" на 644 чтобы поставить модуль статистики avadim'a и сразу же за эти 5 минут напихали во все индексные файлы iframe. Они постоянно что ли проверяют можно ли мне нагадить или как? Пароли ни в браузерах ни в фтп клиентах не сохраняю. Как противостоять этим пидорам люди? Помогите побороть пожалуйста. Хостинг hc.ru. Спасибо.