И еще один взлом версии 1.9 Need help!!!

Вот и меня не минула эта участь — взломали.

Предистория: три месяца назад установлена чистая версия 1.9 ( никаких миграций с 1.7-1.8), все работает
Недели три назад появился пользователь с явной попыткой получить хэш пароля админа, эта уязвиомсть описана, вход через соцсети.
После этого закрыл доступ к админке (только с домашнего айпишника), проверил все права на файлы.
В это воскресенье — привет — половины базы нет, оставшаяся часть погрызана, пестрит пользователями null с непотребными комментами.
Так как мало что понимаю в логах и пхп — не смог понять где дырка, вчера восстановил все из бэкапов. Не прошло и трех часов — та же история....

Доступ однозначно не через фтп и не через хостера, т.к. там лежит еще несколько сайтов (на других cms), имея доступ к фтп или к хостингу — поглумились бы над всеми.

Ну так вот, о великое сообщество!!! Есть ведь тут разбирающиеся в безопасности. Могу дать все — собственно файло, поломаную базу, неполоманую базу, логи awstats. Прошу — найдите дырку… Сайт уже неделю почти не работает. И восстанавливать из бэкапов в текущей ситуации бессмысленно — опять поломают.

А сторонние компоненты есть? или чистая установка…

нет, полностью чистая. даже дефолтный шаблон не менял.

Прикрепите логи сайта, знающие люди посмотрят.

логи прикрепил.
ориентировочное время начала атаки 16/May/2012:14:45:08, ip предположительно 92.50.167.130 Это что касается второй атаки.
Первая тоже должна быть в логах, около 9 утра (плюс-минус) 12/May/2012

Кто-нибудь уже глянул?

Может вам восстановить все из бэкапа и отключить регистрацию, ограничить добавление статей, изображений, запретить редактирование и т.д. забаньте подозрительных пользователей ...
ну сменить пароли естественно везде и далее, если сайт будет нормально работать постепенно разрешать то что нужно.

Кто-нибудь уже глянул?

там особо смотреть по моему нечего, есть загрузки рисунков в jpg в блогах и на форуме, если через них какой то код вносится а потом исполняется.

Вот подозрительный запрос.

PrimHunter, нашел через что, но не могу понять как именно, без снимка сайта на момент взлома. осталась где-то копия базы данных сразу после взлома?

если да — то пишите в личку.

Вот еще подозрительная строчка, а вот описание уязвимости hacker-pro.net/thread/38063/p1.html

как латать?

PrimHunter, а php у вас на сервере как модуль apache? Или fastcgi?

PrimHunter, нашел через что, но не могу понять как именно, без снимка сайта на момент взлома. осталась где-то копия базы данных сразу после взлома?

если да — то пишите в личку.

Да, база осталась. в личке.

PrimHunter, а php у вас на сервере как модуль apache? Или fastcgi?

Похоже apache, хотя не уверен в таких тонкостях. Хостинг sweb.ru

69.65.40.100 vseploho.me - - [11/May/2012:10:50:49 +0400] "POST /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1" 200 42826 "-" "-" 32364 0

Вот еще подозрительная строчка, а вот описание уязвимости hacker-pro.net/thread/38063/p1.html

Суда по всему эта дырка у хостера прикрыта, по крайней мере вот это не сработало.