Посоветуйте, сайт взломали!

какие нужно ставить права на папки /upload и /images

Когда устанавливаете Instant, там написано какие. Должна быть разрешена в них запись. В самом общем виде это 777, а в привязке к хостингу, в зависимости от настроек сервера. Бывает и на 755 много разрешено.
Если не разрешить запись в эти папки, ни файл ни один пользователь (включая и админа) не сможет закачать, ни даже аватарку поставить себе

а как проверить есть у меня на хосте шели или нет?
если отключена регистрация, то по идеи ни кто не может закачать?

какие нужно ставить права на папки /upload и /images

Когда устанавливаете Instant, там написано какие. Должна быть разрешена в них запись. В самом общем виде это 777, а в привязке к хостингу, в зависимости от настроек сервера. Бывает и на 755 много разрешено.
Если не разрешить запись в эти папки, ни файл ни один пользователь (включая и админа) не сможет закачать, ни даже аватарку поставить себе

делов том. что 1,6,2 устанавливает 700, а старые версии 777

для защиты от стороних кодов… пользуюся этим сервисом… пока даволен

www.siteguard.ru/p5.html

Система оповещений

При обнаружении какой-либо опасности SiteGuard пытается оповестить о ней владельца сайта всеми доступными способами (ICQ, e-mail, SMS).

Кроме того, если по какой-либо причине (отключение хостинга, взлом сайта, технические проблемы) Ваш сайт оказался недоступен, SiteGuard оповестит Вас об этом.

alpik,
1. смени все пароли на ВСЕ
2. во все аплдоад директории (/upload и /images) положи вот этот файлик.
В новом релизе уже сделана проверка расширения файлов — можно будет указать вручную доступные расширения файлов для загрузки. Указанный файл будет в аплоад папках "из коробки".

1 — /upload/userfiles/192 — это путь юзера id 192?

да

Fuze, если залить этот файл в папку /images, картинки перестают показывать

Fuze, если залить этот файл в папку /images, картинки перестают показывать

скачай вот этот
trac.instantcms.ru/browser/branches/fuze/images/.htaccess

открой его, почитай, что внутри написано

а как проверить есть у меня на хосте шел или нет?
дата заливки где посмотреть?

а как проверить есть у меня на хосте шел или нет?

Самый простой способ скачать все файлы сайта себе на комп и сравнить все с чистой системой.

сравнить все с чистой системой.

у меня там много сторонних дополнений
а нельзя закрыть шелл-доступ вообще?

Нельзя. Разве что вместе с сайтом.
Шелл — это просто общее название, а не протокол доступа.

Max, ты ничего не путаешь ?
у меня VPS и хостер говорит, что можно закрыть шел доступ
ответ хостера — "Отключить эти сервисы можно будет из панели ISPmanager в разделе "Возможности"."
а пароль сохраненный в мозиле могут хакнут(знаю, что в принципе все можно, но интересует обычная практика)?

lezginka.ru, шелл — ssh и шелл — вредонос, разные вещи. ssh можно прикрыть через ISPmanagar, вредонос нужно смотреть — логи, порты итд...

Кстати, а с чего взял, что шелл залили?

Очень Серый ну потому что если залили тот что выложил автор то это вроде C99madShell, ну или во всяком случае очень похож

шелл — ssh и шелл — вредонос, разные вещи

шелл — вредонос в чем отличие ?
а как вообще проверить есть шелл — вредонос или нет?

шелл — вредонос

Читаем
А шелл SSH — эт в основном добронос. ;)