Меня взломали

напишите плиз уже фак, какие права на папки и файлы должны быть у движка?

пользуемся поиском. уже писал не раз и не только я.

------------------

1. ВСЕ серверное ПО должно быть ПОСЛЕДНЕЙ версии, включая CMS.
2. После установки InstantCMS на все ПАПКИ должны быть выставлены права 755, на все файлы 644.
3. После чего на директории /images, /upload, /cache, и всех вложенных в них выставляем права 777. (важно! для файлов .htaccess и index.html в этих директориях необходимо оставить права 644)
4. Для файла /includes/config.inc.php выставляем права 777 ТОЛЬКО НА ВРЕМЯ КОНФИГУГРИРОВАНИЯ! После права на этот файл должны стоять 644.
5. Владельцем ваших файлов и папок должен быть пользователь какой угодно, но НО НЕ тот от которого запускается веб сервер или работает php.
6. Для php необходимо настроить дериктиву open_basedir, ограничив директорией вашей www папки. В идеале chroot.
7. Закрыть для ВСЕХ ВСЕ порты на сервере, кроме 80 (443 при необходимости). Доступ к нужным портам из вне открыть для ваших IP или же воспользоваться другими технологиями доступа к портам.
8. Соблюдать принцип — каждый сервер для своего назначения, не нужно в один пихать все сервисы — почту, днс и т.п.
9. Разные пароли на разные доступы!!!
10. Не использовать на серверах ОС Windows.
11. Только лицензионное ПО.

Как то так)

3. После чего на директории /images, /upload, /cache, и всех вложенных в них выставляем права 777. (важно! для файлов .htaccess и index.html в этих директориях необходимо оставить права 644)

А на файлы в этих папках тоже 777, раз написали про .htaccess и index.html отдельно ?

А на файлы в этих папках тоже 777

На файлы 777 смысла нет, тогда уж 666 или же просто поставить владельцем пользователя вебсервера и оставить 644.
А так, смотря в какой момент времени решили поставить права. если сразу после установки, то можно оставить на файлы 644 — просто при удалении например фото, сам файл не удалится.
Если у вас там уже набралось порядком файлов и вы планируете их удалить позже через управление CMS, то тут уже лучше выставлять поиском и по маске, дабы не выставить неверно.

Хотя конечно проще всего пройтись поиском, например так:

find /var/www/site.ru/ -type f -name ".htaccess" -exec chmod 644 {} \;
find /var/www/site.ru/ -type f -name ".htaccess" -exec chown root:root {} \;
find /var/www/site.ru/upload/ -type d -exec chmod 777 {} \;

Это НАПРИМЕР! Смысл чтобы показать.

Для построения команды find есть отличный онлайн генератор find.unixpin.com/ru/

было такое, такой же код прописывали. Оказалось стырили фтп пароли, тоже как удалю снова появлялось. Помогло смена паролей и правильная настройка прав для папок.

universe, у него доступ к фтп по конкретному ип стоит, тырить бесполезно. только если его комп заражен и у него хитрый троян который ждет пока он залогинится и начинает там файлы менять, но это фантастика.

Еще я бы посоветовал всем кто сам менял или хостер с дуру поставить значение register_globals=on поменять на register_globals=off

В случае, если register_globals включена, то перед выполнением вашего кода будут инициализированы различные переменные, например, переменные, переданные при отправке HTML-формы. Также, учитывая тот факт, что PHP не требует инициализации переменных, написать потенциально опасный код очень легко. Это было очень сложным решением, но сообщество PHP решило изменить значение по умолчанию этой директивы на OFF. Если директива включена, то при написании кода разработчики не могли с уверенностью сказать, откуда пришла та или иная переменная и насколько она достоверна. До такого нововведения переменные, определяемые разработчиком внутри скрипта, и передаваемые пользователем внешние данные могли перемешиваться.

Более подробно тут php.net/manual/ru/security.globals.php

напишите плиз уже фак, какие права на папки и файлы должны быть у движка? так то я знаю, но всеже как видим тема за темой появляются и надо бы поставить в этом вопросе точку.

Перед установкой софта, взять за правило внимательно читать вложенный в архив файлик

readme.txt

[/h2]

И как от такого защититься?
Комп на вирусы прогнал — ничего нет.
Пароли только поменял, но этим взломщикам пофиг, все равно взломали.

Дописка кода на файлы сайта идет вирусом с компа владельца сайта через ФТП-клиент. Первые признаки такой деятельности — сильная загрузка вашего компа.

Самая главная профилактика от подобных проблем — это запрет соединения ФТП. Закрыть ФТП вы можете в админ панели своего хостинга.
Открывать ФТП только когда вам он необходим.

Дописка кода на файлы сайта идет вирусом с компа владельца сайта через ФТП-клиент.

многие шеллы дают обработать по маске группу файлов — так что не проблема, однако есть признак — вытертые логи в период заражения, что как бэ намекает что фтп тут не причем, к сожалению, поскольку фтп доступ от юзера который их может только читать, но не удалять.

при этом имеем инстант 1.9 + еще два движка на соседних сайтах + позволю процитировать классика

1) Оторви яйца хостеру, который подумал, что magic_quotes=off -это круто.

использовалось ли это для взлома или нет, сказать нереально без логов.

Самая главная профилактика от подобных проблем

не использовать шиндовс

Man, в каких фаилах, хотя бы пару приведите в пример.
index.php и индекс шаблона скорей всего?

все php файлы

не использовать шиндовс

А чем это поможет в подобных проблемах?

все php файлы

самый ад был в файлах шаблона, там было нереальное количество вставок, руками не поправить даже, поскольку обрабатывалось каждое <?php, а их в шаблоне через одну строчку

А чем это поможет в подобных проблемах?

проблеме не поможет, поможет предотвратить

там было нереальное количество выставок