Взломали сайт

Здравствуйте. Смотрю посещалку - 0. Захожу на сайт oriflame.kh.ua, а там переадресация на такое (скриншот) и играет арабская музыка:
http://195.242.161.54/Oriflame.kh.ua-Defaced-By-Hacker-Attack.jpg

В админку заходит. Подскажите, где может быть код, как взломали, что удалять? Компьютер проверял - вирусов и троянов нет.

SammoLove,
Внедрением вредоносного кода занимается программа-троян, похищающая у пользователя пароли FTP-доступа и часто не определяющаяся антивирусными программами.
Анализ механизма заражения сайтов показывает, что файлы меняются посредством легального (!) FTP-подключения, т.е. никакого взлома сайта не производилось, а всего лишь осуществлялся вход по логину/паролю и последующая модификация файлов сайта.
Подобное поведение присуще программам семейства Pinch, которые умеют обходить брандмауэры и антивирусные программы и похищает пароли, сохраненные в InternetExplorer, CuteFTP, TotalCommander, WindowsCommander и др.

Порядок решения проблемы:
1. Необходимо проверить свой компьютер антивирусом с самыми последними обновлениями (!).
2. Сменить пароли доступа ко всем FTP-аккаунтам.
3. Восстановить сайт из резервной копий, предварительно проверив, что сайт в резервной копии не заражен вирусом, т.к. резервная копия могла создаваться уже после заражения сайта или вручную удалить код вируса из файлов, в которых он содержится.
4. Никогда не сохранять пароли в программах.
5. Учитывая большой список известных уязвимостей Internet Explorer, воспользоваться альтернативными браузерами, например, Firefox или Opera.

Также проверьте логи системы и FTP-логи доступа к серверу.

SammoLove писал(а):

Подскажите, где может быть код, как взломали, что удалять?

Да где угодно могли по ФТП добавить, на форуме угадать где именно не получится.

скорее все-таки был взлом сайта либо скрипта стороннего который использовался вместе с HostCMS

арабские и другие дефейсы - часто с ними встречался на первых шагах освоения вебмастерства,ломали сайты на дырявых скриптах.
Поиск сайтов для дефейсов например осуществляется через поисковые системы по ключевым словам которые выводятся например в копирайте у скрипта на его страницах.

надо досканально проверять директории на сервере - те директории у которых стоят чмоды 777 например (аля temp и тд)
может спокойно лежат shell

а еще как вариант взломали другие сайты на хостинге и пошли более глубже по серверу делать дефейсы.

а еще если зайти на сайт топикстартера то видно что наверху вылезает инфо о том что ссылка на hostcms.ru не размещена на странице (в макете)

вам это ни о чем не говорит?

compaq писал(а):

вам это ни о чем не говорит?

Вы у кого спрашиваете? Нам говорит о том, что редакция бесплатная и ссылка не размещена. Должна говорить еще о чем то?

Что-то ТС молчит. Странно.

Да я здесь. Естественно ссылка не стоит, не будут же хакеры оставлять ссылку на hostcms.ru На моём сайте она была.
Скажите, а должно ли лежать два файла в папке cgi-bin: generator.cgi, cgi-telnet.pl?

SammoLove,
Эти файлы в поставку системы не входят. В HostCMS вообще не входят файлы, предназначенные для размещения в cgi-bin

Из файла cgi-telnet.pl:
CGI-Telnet Version 1.0 for NT and Unix : Run Commands on your Web Server

Может это многое объясняет?

И ещё, я в админку зайти могу, а вот перейти там куда-то глубже нет, сразу выдаёт запрос на пароль, а у меня php как cgi

Всё, тему можно закрывать - я нашёл - они полностью заменили основной макет сайта и css. При чём в css тупо записали то же самое, что и в макет. Жаль копий этого у меня нет, так что придётся делать заново