Взлом сервера на хостинге REG.ru

ага, вот так прям взялись сервак ваш ломать турецкие хакеры, вот сидели себе готовились пол года и взялись ломать? А давайте как угадаю, движок у поломаных сайтов джумла либо с варезника скачаный Дле. Все банально и просто. Скрипт и баги халявных движков ))

А Вы реакцию хостера, оправдание рег ру, Вы батенька еще компенсацью в стотыщтятсот рублей с хостера запросите за моральный ущерб

ОБНОВЛЯТЬСЯ НУЖНО И 777 позакрывать

Видимо похожая тема уже есть! Спешил сообщить плохую новость - а тут уже минусовать начали фрики какие то.

megabit добавил 13.08.2011 в 22:28

http://www.pomost-gran.ru/ пример сайта.

похожая ситуация уже была у других хостеро.

Причиной уязвимости стало морально устарешая версия программного обеспечения одного из сайтов на сервере, в которое арабские хакеры внедрили свои скрипты. Результатом выполнения вредоносного кода было изменение индексных файлов в каждом эккаунте сервера.

Хостинг-компания ннастоятельно рекомендует всем блоггерам, использующим платформу Joomla или WordPress, немедленно обновить их до последней версии. Иначе их также может постигнуть такая участь.

Компания успокаивает своих клиентов, и сообщает что приняты все меры по скорейшему восстановлению сервера и предотвращению повторных атак. В настоящее время большая часть индексных файлов восстановлена и сервер S2 работает в штатном режиме, а сайты клиентов постепенно возобновляют работу. Компания UAhosting просит не беспокоиться и немного подождать, если у вас сайт все еще не работает.

Провести обновление указанных CMS можно в автоматическом режиме. Если же не удается обновить Wordpress автоматически, нужно отредактировать файл wp-config.php в соответствии с указаниями на страницах форума.

Если вы не хотите вникать в настройки файла wp-config.php , можете обновить WordPress вручную — просто переписав файлы новой версии поверх старых файлов по протоколу FTP.

Это еще раз говорит о важности соблюдения сетевой безопасности и необходимости регулярного обновления популярного програмного обеспечения.

megabit добавил 13.08.2011 в 22:32

Использую лицензионные движки! взлом именно всех сайтов на ip 87.242.73.209

Разговор не о том что лицензию купить нужно, а об том чтобы обновиться и позакрывать на запись всё что можна

В данном случае не помогут ни лицензии, ни обновления, примерная схема следующая:

PHP работает в режиме DSO (у апача), на сервере живёт юзверь с CMS старых типов (например Joomla 1.0), или в ручном режиме или используя ботов нашли этот сайт, через XSS (и прочее) заливается ряд скриптов, те (через exec ф-ции)заливают бинарник и запускают его в /tmp, бинарник является экслоитом (бекдором и т.д. на выбор), далее в зависимости от ряда факторов (версии, наличие патчей и т.д.) выполняются деструктивные действия (от банальных перехватов управления процессов апача и выставления заставок на сайтах, что мол есть такие крутые перцы, что сделали это, до повышения привилегий до уровня root со всеми вытекающими).

Такая же беда.

Взломан полностью акк на хостинге reg.ru

Сначала вообще не мог войти в панель, говорит не правильный пароль. При попытке восстановления пароля выдавало, что такого пользователя нет.

Сейчас вошел в панель, но там ни чего не отображается!!!

FTP так же не работает: "не удается соединиться с сервером"

У вас на каком сервере сайты?

Мои лежали на server9

Putnik добавил 14.08.2011 в 00:24

Как от подобного защититься?

Сайты были в основном на Joomla 1.5.x и на самописном движке.

Не работает все. В ПУ хостинга вообще ни чего не отображается.

с трудом верится да и /tmp как правило с noexec.

используют обычно ПО типа s99shell и т.д. бинарник могут выполнить там, где есть права (в случае с DSO возможностей масса, особенно если олпенбаздир протекция не стоит и т.д.)

наивные чукотские юноши.

далеко не у всех.

А как noexec вас спасет? Уж простите, но никак.