Как взломали 1.10.3?

У меня на некоторых сайтах клиентов стоит 1.10.3. Вчера одновременно на 2 абсолютно разных аккаунтах, правда у одного хостера засадили по ftp кучу php скриптов и повалила спам рассылка, причем появился новый ftp аккаунт. Хостер запаниковал и после переругиваний с ним ответил: "судя по характеру рассылки у вас взломан движок или его плагин содержит уязвимость, поэтому мы рекомендуем незамедлительно заняться их безопасностью". То есть пароли не украли (они в разных местах у разных людей). Никаких сторонних компонентов, модулей, плагинов. Всё из коробки.
Где собака порылась?

его плагин содержит уязвимость

Попробуйте посмотреть в этом направлении (посмотрите общие сторонние плагины)

его плагин содержит уязвимость

Попробуйте посмотреть в этом направлении (посмотрите общие сторонние плагины)

Все плагины только от InstantCMS Team

причем появился новый ftp аккаунт

И как же создали новый фтп аккаунт, взломав сайт через движок? Как-то нелогично

Если засадили по фтп, причем тут движок? Это хостер. Он фтп предоставляет.

Кста, простите за оффтоп, но опять всплывает тема необходимости инстантовского "антивируса". Чтобы следил за файлами движка, и в случае модификации и или добавления новых файлов сообщал об этом админу. Я такой начал писать для v.1.9 и даже кое что сделал, но увы, завалили другой работой.

Олег с клещами, что за хостинг? Это чтоб туда не соваться)))

Предположу, пароль рута наверное 1234 или qwerty

Странник,
оффтоп
Какой принцип работы "антивируса"? Скриптом (через крон например) проверять файлы и папки на стороннюю разработку (сравнивать с коробкой) и высылать админу?

Олег с клещами, что за хостинг? Это чтоб туда не соваться)))

multihost.ru — там такое уже было года 2 назад. Я оттуда давно убежал, а вот некоторые старые клиенты остались.

Предположу, пароль рута наверное 1234 или qwerty

Не смешно. У меня на инстанте первой ветки сайтов штук 80 сделано, полет нормальный. А тут непонятки какие-то…

Олег с клещами,
Значит зря остались. Судя по описанию — пароли их либо слили с их же компов, либо у какого-нибудь исполнителя был пароль (не меняли после заказа). Движок тут не при чем.

слили с их же компов

Не уверен. На одном аккаунте 4 сайта на инстанте, а пароль один общий от аккаунта. Но, почему-то появился ftp аккаунт и вирусняк только на одном. Не логично же, если доступ полный.

Как взломали 1.10.3?

Факты? Логи в студию.

причем появился новый ftp аккаунт

Как бы намекает, что новый ftp аккаунт невозможно завести, взломав движок.

судя по характеру рассылки у вас взломан движок или его плагин содержит уязвимость, поэтому мы рекомендуем незамедлительно заняться их безопасностью

Это называется отговорки и некомпетентность и/или утаивание достоверной информации о взломе.

опять всплывает тема необходимости инстантовского "антивируса"

Делать "антивирус" средствами php утопия. Если вы видите скрипт под названием "антивирус на php", то это маркетинг, не более того.
Всплывает что угодно: правильная настройка сервера, сложные пароли, контроль целостности файлов средствами сервера, правильные права доступа и т.п. — но явно не создание антивируса на php.

Движок тут не при чем

Я тоже к этому склоняюсь. Неужели хостер — ворюга?!

Олег с клещами, а разве cms умеет заводить пользователей ftp?
Или можно пароль на ftp сменить?
Не воспринимайте как обиду а как информацию к размышлению, зачем здесь такие посты, они только вносят смуту в умы и лишние кривотолки!