Взломали сайт, помогите решить проблему хотя бы советом.

[Tonchi]

Здравствуйте дорогие друзья. Вчера случилась не приятная ситуация. Мой сайт который еще в разработке был взломан неизвестным злоумышленником. Пока только догадки кто это мог сделать. Подозреваю Людей которые работали на сайте. Сейчас они уволены, но думаю они могли на вредничать.

Сайт стоит на CMS Dle 9.4 установлено множество модулей, порядка 6-ти, но все куплено так что думаю проблема не у них. Хотя знаю что взламывают через модули. Но тех кого я подозреваю такое бы не сделали. Скорее всего в сайт всунута какая-то стучалка, шелл или еще что-то.

Злоумышленник смог получить доступ к поему аккаунту на сайте после чего удалил его и все аккаунты которые были на сайте.
Сайт был закрыт, но его открыли. Я создал файл .htaccess с закрытием доступа к сайту. Все что смог сделать сразу.

Это началось вчера вечером, но я это быстро просек, быстро восстановил старую БД, сменил все пароли как до аккаунтов так и до самой БД. Удаленный доступ кстати к ней закрыт. Сегодня утром это случилось повторно, значит злоумышленник как-то делает себе доступ к админке.

Посоветуйте друзья как это решить по быстрее. Спасибо. Если шелл был вшит в файлы движка то это не проблема, можно переустановить. Хочу еще пересмотреть весь шаблон... Может есть простейшее решение проблемы?

[Cain]

Решение 1:
Гуглить по фразе "XXX exploit", подставляя вместо ХХХ - название модулей установленных на сайте. При получении положительных результатов - удалять/обновлять/искать замену модулям (на выбор т.с.).

Решение 2:
Смотреть логи вебсервера на предмет sql-иньекций. По результатам править уязвимые скрипты.

[Dizband]

Смотреть логи вебсервера на предмет sql-иньекций.

Это все уязвимости, которые существуют?:redlol:
Сюда бы логфайл прикрепить.

[Tonchi]

Простите за глупый вопрос, а какой именно лог файл прикрепить?. Был бы рад помощи. Спасибо.

[ReaM]

Ссылочку скинь в ПМ, проанализирую твой сайт. или в аську напиши 6o6o61o

[ExLite]

Диапазон после смены всех паролей и до обнаружения повторного взлома. Это вчерашние вечерние и сегодня утренние логи как я понял.

[Tonchi]

Как я понимаю взлом осуществляется через POST запросы, и подробности в лог
не пишутся. Кокрас когда это началось, один IP сделал больше всего пост запросов.
Вчера 28 запросов сегодня 124
Как я понимаю взломщик засветился именно этими запросами. Ибо сайт был закрыт, и на него почти никто не заходил. Там есть пару моих запросов, свою ИП я знаю.

Добавлено через 19 минут
Спасибо всем, спасибо друзья. Нашел на сайте Шелл, который отправлял пароли и хз что еще на какой-то адрес.
Файлик удалил, но собираюсь проверить сайт еще на наличие этих файлов.

[Dizband]

Нуленая DLE? Если да, то не удивительно.

[Tonchi]

Нуленая DLE? Если да, то не удивительно.

ритейл+ключик

[Romka]

Tonchi, вполне возможно, что те ребята и залили тебе шелл "на всякий случай".