Взлом сайтов. Мобильный редирект.

Все нижеописанное происходило в ноябре 2012 года.

11 моих сайтов — взломали. Трижды. Первый раз были изменены файлы .htaccess и файлы тем движка wordpress и еще какие-то файлы внутри других движков.

Текст файлов .htaccess на момент первого взлома:
vzlom1-htaccess.txt

На хостинге установлены сайты на WordPress, один сайт на Joomla и один сайт на MODx. Задеты файлы судя по отчету антивируса внутри движков — WP и Joomla. MODx не задет. Вот так выглядел отчет антивируса avast:
отчет антивируса
Первый раз проблема решилась накатывание бекапа. Поменял везде пароли, удалил лишних пользователей в движках, поменял пароли для доступа к базам данных.
Все эти сайты расположены на reg.ru Техподдержка отказывается помогать со словами:
Мы не можем проводить аудит безопасности каждого скрипта клиента, именно поэтому это зона ответственности клиента.
Видео как работали взломанные сайты с мобилы:

С компьютера сайты открывались нормально.

Второй раз изменений в файлах тем замечено не было. Просто изменены файлы .htaccess Текст файлов:
vzlom2-htaccess.txt
Симптомы: сайт не открывается с мобильного телефона. Вместо него открывается страница предлагающая загрузку фейкового флешплеера, причем в этот раз плеер сразу качается на телефон, не спрашивая разрешения. Так же сайт не открывается с компьютера, если перейти на него из поиска в яндексе.

Большая неприятность, что злоумышленник делает эти изменения в автоматическом режиме, а мне, по незнанию, приходится править всё это обратно рукам. Даже те же .htaccess сперва изменить доступ с 444 на 777 с помощью FileZilla потом открыть в блокноте, убрать добавленный злоумышленником левый код, сохранить…

Что предпринято после третьего взлома: сайты работающие не на wordpress перенесены на другой хостинг, чтоб проверить, в движке ли дело. Изменены все пароли, удалены все пользователи движков кроме админа, у админа изменен пароль. Я грешу на дыру в WP, либо наоборот на дыру не в WP а в другом движке.

Большая неприятность №2 — если имеешь доступ к файлам одного сайта, то имеешь доступ ко всем сайта сразу. Можно выполнить скрипты одного сайта через другой на том же хостинге. Причем эта штука работает на всех хостингах, где установлеy ISPmanager. Единственный из имеющихся у меня хостингов защищенный от этого — консервативный 1gb. У них сайты внутри одного аккаунта располагаются вообще на разных серверах. Это не очень удобно, т.к. нельзя управлять сразу всем внутри одного ftp аккаунта, зато сайты в безопастности друг от друга.

Сайты хостились на reg.ru. Особенность этого хостинга как и остальных, с которыми я работаю (все что работает на ISPmanager плюс sweb.ru, который работает на чем-то своем)

Проблема решилась путем переноса сайтов на 1gb.ru где каждый из сайтов расположен на отдельном сервере. Причем дело было только в одном из сайтов, вопреки ожиданию не WP, а не на joomla или MODx.

Обновил на всех сайтах движки и плагины. Даже разобрался как обновить старинную joomla. Надо было переехать на WP когда делали редизайн…