Komunikat z hostingu o włamaniu na strone.

[henry]

Właśnie firma hostingowa zablokowała mi serwis informując że nastąpiło prawdopodobnie włamanie. Fragment maila od nich:
Napotkany problem: Script flooding mailout
Wykonywana komenda: php.ORIG.5 -c /usr/local/lib/php.ini -d register_globals=1 -d magic_quotes_gpc=1 -d session.use_trans_sid=1 index.php
Uruchomiony plik: N-A
Te operacje nie są dozwolone na naszych serwerach, ze względu
na możliwość próby włamania.

Jeżeli skrypt nie jest Państwa autorstwa, oznacza to, że ze
względu na lukę w zabezpieczeniu, doszło do włamania na stronę
i skrypt został wykorzystany przez hakera.

Zablokowaliśmy dostęp www, aby wyeliminować ryzyko kolejnych
włamań.

Proszę zmodyfikować skrypt przez FTP, a także używane przez
Państwa aplikacje, takie jak phpbb, phpnuke, itp.

Napisałem do nich aby podali co mam zrobić aby odblokować serwis ale nie wiem jak szybko odpowiedzą a ponieważ serwis ma sporą oglądalność to szybko muszę to poprawić.

Wie ktoś jak zlokalizować ten skrypt i co konkretnie zrobić?

[Michael_23]

Czemu ukrywasz nazwę firmy hostingowej?
Każda ma swoje rozwiązania i podając nazwę przyśpieszysz
znalezienie użytkownika danego hostingu, który być może Ci pomoże.

[Dylek]

To pewnie OVH, ale nie ma to znaczenia - na kazdy w sumie mozna sie wlamac jak jest ktoredy.

A jak zlokalizowac skrypt? Porownac to co masz na serwerze z oryginalnymi plikami z instalki - bedziesz wiedzial co i gdzie doklejone - choc, jak pisal Michael_23 byc moze podobny przypadek juz byl i rozwiazanie bedzie szybsze niz sprawdzanie kazdego pliku.

[henry]

Czemu ukrywasz nazwę firmy hostingowej?
Każda ma swoje rozwiązania i podając nazwę przyśpieszysz
znalezienie użytkownika danego hostingu, który być może Ci pomoże.

Chodzi o hosting OVH. Forum w serwisie to phpbb 3.0.5 i instalowałem je jako moduł z hostingu a nie przez ftp.

[henry]

Ale instrukcja z hostingu przyszła dość dziwna - napisali abym wykonał przez ftp komendę SITE CHMOD 705 / - serwis powrócił ale przecież jeśli tam faktycznie ktoś zostawił jakiś złośliwy skrypt to zaraz z powrotem to padnie.

[Michael_23]

Na OVH się nie znam, mam płatny serwer. Przede wszystkim rozmawiaj z adminem OVH, przeglądaj logi, zabezpiecz się przez .htaccess (register globals itp.). Poza tym jak widzę, to phpbb a nie Joomla.