Взломали по FTP

[metaname 7]

Наблюдая за последним апом несколько дней назад обнаружил что один мой сайт разбух аж на 2К страниц, хотя там от силы их чуть больше сотни. Открыв панель ЯВМ, решил посмотреть что это за чудо такое и обнаружил на нем вот такие странички http://metaname.ru/wp-content/1/Differin.htmlПорывшись в адимнке, не нашел указанных страниц. Видя расположения файла в строке браузера, открыл сайт через ftp и (очень нехорошее слово). Там было засраны почти все папки. Попытался вручную поудалять эти тысячи файлов, но плюнул и решил восстановить сайт из резервной копии. Посмотрев дату изменения папок - момент когда они были созданы, вычислил что это было 17 февраля, восстановил за 2-е февраля. Вроде бы все исчезло. Но как видите на примере ссылки которую дал выше - эти страницы опять появились. Правда не все. 

Помимо того что на сайте появились страницы которые каким-то чудом влетели в индекс за один ап, на сайт появились бэки более чем со 100 сайтов (по ЯВМ), бегло проверив эти бэки, оказалось что они пустые - т.е. по факту нет ссылок на страницах. Сайты с которых "идут" бэки расположены на разных движках (вордпресс, джумла). Это как русскоязычные, так и буружуйские, их ничто не объединяет.

 

Вся эта ситуация дала негативные "звоночки" - у сайта xml лимиты упали до нуля. Предвидя бан, отписался Платону. В принципе мне этот сайт не особо важен, я с него ничего не имею, так заготовка под что-нибудь стоящее в необозримом будущем. Но все равно данный взлом радости мне не доставил. 

 

Хочу перенести этот и еще один сайт на другой хостинг, так как нынешний после взлома доверия не внушает, да и ценник в связи с ростом доллара тоже перестал устраивать. 

Вопрос:

У кого-нибудь подобное происходило? Может там вирус какой который сам страницы заливает. Так как я не знаю причины появления данных страниц, то как перенести сайт на другой хостинг, но чтобы все это г#вно из тысяч страниц не прихватить в придачу или файл который их заливает?

Edited March 11, 2015 by Error
нецензурное высказывание

[files 2843]

А откуда диагноз "Взломали по FTP" ? Скорее всего, у вас дыра (в шаблоне, плагине).

То, что вам подарили - называется "дор". Очень зачастую управляется удаленно.

Доры чистить и удалять бесполезно. Нужно искать лазейку, через которую он закачивается и, конечно же, лазейку, через которую эта лазейка попала на ваш сайт.

 

P.S. Добавлю, что по такой же уязвимости как и у вас взламываются сотни и тысячи сайтов в сети. Естественно, хакер руками не будет лазить по ваших сайтах по фтп (ну разве что у вас PR5 и Тиц >100 ), а управляет ими централизованно. Поэтому, пока есть дыра на вашем сайте, боты будут регулярно на нем постить.

[metaname 7]

А откуда диагноз "Взломали по FTP" ? Скорее всего, у вас дыра (в шаблоне, плагине).

То, что вам подарили - называется "дор". Очень зачастую управляется удаленно.

Доры чистить и удалять бесполезно. Нужно искать лазейку, через которую он закачивается и, конечно же, лазейку, через которую эта лазейка попала на ваш сайт.

 

Ну вот я и не могу понять откуда все это лезет. Плагины последний раз пару лет назад устанавливал, когда сайт делал. По ftp - на мой взгляд наиболее вероятная причина, хотя не исключаю возможности  и пакости со стороны плагина. 

И как мне искать эту лазейку? К сайту года два не притрагивался с момента как его сделал. 

[Alexno 24]

На Джумле у одной знакомой нечто похожее было с пару лет назад, источником был некий сторонний модуль вывода похожих новостей.

[metaname 7]

Короче, спасибо. Если дело в плагинах, то проще не искать конкретный, а снести все.

[viktorvoevodin 124]

Вордпресс? Взлом или через плагин или уязвимость в шаблоне.

[GladWeb 1433]

Ну вот я и не могу понять откуда все это лезет. Плагины последний раз пару лет назад устанавливал

 

В том то и беда, что нужно еще и обновлять их. С каждым обновлением прикрывается какая-то дыра, в лучшем случае.

[GUEVARA 469]

используйте скрипт айболита
если дле, то сохраните на пк шаблон,папку уплоадс, и конфиги(всё почистите от вирусни) и перезалейте двиг и подключитесь к своей бд