Вопрос о безопасности HostCMS

Вопрос к разработчикам относительно безопасности движка. Очень прошу ответить максимально честно, можно по e-mail frxgbe13@znvy.eh - КАКОВА вероятность взлома с целью уничтожения БД или просто вредительства, сайта, расположенного на виртуальном хостинге под управлением HostCMS 5.1.1 ? Есть ли разница с точки зрения безопасности в версиях "халява" и коммерческой версией ?  Если отличия есть - однозначно будет покупаться коммерческая версия с целью обезопасить себя от подобных атак.

Пояснения: сайт организации был на статических страницах и начал активно подвергаться взломам через самописный скрипт нововстей. Было принято решение о переводе сайта на нормальный движок и был выбран HostCMS. Вчера были взломаны и уничтожены БД. После того, как хостер накатил бэкап, ночью был опять взломан сайт и на этот раз хостер заблокировал ресурс.

PS логи фтп и хттп от хостера ожидаю.

AndrewMn,
Фактов взлома HostCMS нами за 3 года не зафиксировано ни на Халяве, ни на коммерческих редакциях. Наиболее вероятно был украден FTP-пароль из FTP-менеджеров, которым пользовались те, кто имел FTP-доступ к Вашему сайту (кража идет через распостраненные трояны, перед которыми уязвим Internet Explorer, если Вы им пользуетесь). Также нельзя исключать вмешательство через уязвимые внешние скрипты, используемые на той же площадке, где и система (часто на виртульном хостинге размещают несколько сайтов с разными движками, при этом, естественно, все сайты площадки имеют доступ друг к другу.
До выяснения причин обязательно необходимо получить FTP-логи (обязательно), логи системы (если сохранились) и логи Apache. Можем посодействовать в расследовании, для этого необходимо все логи выслать на адрес fhccbeg2@ubfgpzf.eh

Спасибо большое за предложенную помощь. Логи, которые предоставил провайдер я выслал на емаил.

AndrewMn,
по представленным FTP-логам, проблем не вижу, далее часто запрашивались внешние php-файлы, которые не принадлежат HostCMS и отсутствовали в момент запроса (ответ 404):

• /form.php
  
• /info_izol_gidrosys.php
  
• /truborpovod/1_3.php
  
• /forum/post.php?action=new&forum=1 [внешние форумы, которые в большинстве случаев уязвимы]
  

Всего в представленных логах 150 фактов обращений с ответом сервера 200 или 302, большинство обращений - поисковые боты. Из них на страницу авторизации в центр администрирования был один вход 10/Aug/2008:07:47:51 +0300, при этом авторизация не происходила и движения по центру администрирования не было, т.к. авторизация не была произведена.

Последний запрос с 200-м ответом (т.е. все было в порядке) зарегистрирован 10/Aug/2008:09:54:18 +0300, далее следующий запрос в [10/Aug/2008:10:02:03 +0300] "GET /files/Price_Lira.xls" уже возвращает 403-й запрос (видимо хостинг запретил доступ).

Никаких фактов несанкционированного доступа или попыток такого доступа из представленных файлов не выявлено. Можно предполагать, что:

1. На хостинге может быть проблема с разделением директорий на разных виртуальных площадках.
   
2. Открыт внешний доступ к MySQL (т.е. кроме, чем через localhost) и злоумышленнику известен логин/пароль от Вашей базы.
   
3. Присутствую на одном аккаунте другие сайты, работающие с уязвимым программным обеспечением и имеющим доступ к этой же базе или работают с логином/паролем от базы, пользователь которых имеет доступ к этой же базе.
   

Необходимо более тщательное обследование со стороны хостинга, можете прислать FTP-пароли на наш адрес, мы посмотрим, что там с FTP-данными.

Спасибо огромное за Ваши консультации. Вопрос с Вашими комментариями переадресован хостеру. К HostCMS вопросов не возникает . Рекомендую к использованию.