Взломали 1.9 - ищу лазейку

Изголяются взломщики все более изящно. Случайно обнаружил в папке /upload файл pdf, в нем статья и гиперссыль на продвигаемый сайт с нужным анкором. Погуглил, статья такая же и там же есть и на нескольких чужих Instant-сайтах.

Прошу подсказать, в каком направлении копать. Понятно, что pdf тот удалю, но надо определить, как его залили? Где-то дыра или где-то залит шелл? Буду признателен за любые идеи или подобные случаи из собственного опыта!

Использую версию 1.9, права на папки настроены в соответствии с инструкцией, доп.плагинов нет, кроме Музыки.

Залили разрешенный для заливки файл разрешенным же методом, в папку для этого предназначенную. В чем заключается взлом?

Об этом pdf тут была целая тема. У меня на трех сайтах сразу залили, со ссылкой на украинский женский сайт. Просто удалил и не парюсь.

Да и кстати, у меня в настройках выставлено, что пользователи не могут заливать файлы, но все равно залили.

Об этом pdf тут была целая тема.

можешь дать ссылку на эту тему?

что пользователи не могут заливать файлы, но все равно залили.

А пользоваться визивигом пользователи могут? Это уже такой БОЯН…
Тем более, что в данном случае использован он по прямому назначению, все залито разрешенное расширение в разрешенную папку.

instantcms.ru/forum/thread7952-14.html с 203го поста

это тоже посмотри
instantcms.ru/forum/thread10916.html

Залили разрешенный для заливки файл разрешенным же методом, в папку для этого предназначенную. В чем заключается взлом?

Конкретно в папку /upload заливать "разрешенным же методом" никто не может.
Именно в /upload, а не в его подпапки.

За ссылки спасибо! Как же будем лечить??!

Просто удалил и не парюсь.

Вы уверены, что лить он будет именно в эту папку и именно pdf`ы? Дыру надо обязательно закрывать.

В логах нашел хакера.
Залез в папку через fckeditor.
91.225.201.17 (ua, как и сайт, кстати).
Попробую разобраться детальнее, как было дело.