На хостинге стоят 2 сайта: 1 на WordPress, другой на Joomla!. Помимо них есть еще 2 тестовых поддоменов, где тоже залит WordPress.
Третий день ломают сайты: в корневую папку хостинга, а также в корневую папку каждого сайта заливается модифицированный .htaccess, где прописано правило, что, если посетитель приходит с любого стороннего источника (будь то google, yandex, yahoo) или попадает на любую 4хх страницу на сайте, перенаправлять его на _http://azondsondex.ru/adsong/index.php, которого и в помине-то не существует...
Прикол в том, что если набрать адрес в строке адреса напрямую, то на сайт обязательно попадешь, а вот если это переход откуда-то — хренушки... Из-за этого сайты пролежали почти сутки, а я об этом даже не догадывался.
Как происходит взлом, определить пока не могу. С ходу попробовал попросту удалить из корневой папки хостинга лишний .htaccess и перезалить его для 2х сайтов на WordPress и Joomla!. Также еще раз проверил права на этот файл — везде стояли 444. Поменял владельца данного файла на себя с помощью админ-панели хостера еще раз... В итоге трабла пропадает на время, переходы из поиска становятся возможными, .htaccess сам или при вызове страниц сайта не модифицируется. Для пущей уверенности я еще попробовал восстановить сайты из бэкапа за день до того, как были модифицированы .htaccess'ы. На время помогло. Но вот сегодня с утра заметил, что опять, блять, хакнули, поменяли .htaccess'ы везде, и ппц... Сайты лежат, клиенты не попадают, прибыль сливается в горшок
.
Есть подозрение на уязвимость какого-нибудь из модулей какого-нибудь из движков (либо Joomla!, либо WordPress), и периодическое обращение к этой уязвимости злоумышленника вручную либо своим каким-нибудь скриптом, короче, надо от неё по-любому избавляться. Поддержка freehost'a, к сожалению, морозится, помогать не хочет, говорят, мол, мы не занимаемся поддержкой и консультацией, а только хостинг предоставляем
.
Чё делать-то, товарищи? Вручную перезаливать задалбывает )))
Update 8.12.2011. Файл с зашифрованным скриптом выложил по ссылке: fileshare.in.ua/5362517. Кто шарит, расшифруйте, плз, как он на самом деле работает, и вышлите мне на nikolas_sharp[caba4k@]bigmir.net