[lorlus]

Поищу раздел логов в ISP манагере, а что искать, адрес переадресовки?
Кстати, искал этот урл в свох файлах сайта - нигде не нашелся.

[ohmygod]

Логи сервера, заходов по ftp - попросите хостера, должны предоставить. Искать нужно обращения к базам данных, чужие ip - их запросы и т.п.

[lorlus]

Слушайте, а хостер меня не погонит, скажет идика ты нафиг, завалишь нам весь сервант со своими дырявыми сайтами, сидишь тут на дешевом тарифе, разводишь шеллы))))))))))) А у меня там десять сайтов) переносить трудоёмко и нет времени и желания)

[izyalex]

Нет не погонит, но и не скажет как взломали. Потому что анализ логов это трудоемкая работа
PS: "не погонит" - пока шеллы спокойно себя ведут, не рассылают спам или ддосят, вот тогда забранят сразу же

[ohmygod]

Все зависит от хостинга, где-то могут помочь найти заразу, а где-то даже логи не дадут :)

[lorlus]

Да, вы правы, друзья, опять она вылезла, все фалы .htaccess вновь создались со старым содержимым.

[klimweb]

Посмотрите все php-файлы темы: там, вероятно, могут быть шелы. Проблема не только в .htaccess
У меня точно такая же проблема была, я столько с этим намучился...
Кстати, если просто почистите .htaccess, через какое-то время он все равно отредактируется вирусом

---------- Сообщение добавлено 16:00 ---------- Предыдущее 15:59 ----------

а хостер меня не погонит

имеет полное право. У меня было 24 часа на чистку, в противном случае мой акк заблокировали бы

---------- Сообщение добавлено 16:01 ---------- Предыдущее 16:00 ----------

кстати, что за хостер?

[mmi]

У меня на хостере есть сканер, я им вычислял код. А так айболитом все смотрят.
Ссылку вы не найдете, она закодирована. Сама ссылка в кодированном виде у меня прописалась в около 3000 файлов. Если есть на хостинге еще сайты в одной директории, тогда они заражены тоже и чистку нужно проводить в комплексе. У меня 7 сайтов на вордпресе и жумле, полягли все, не зависимо от версий движков.
И заметьте, что если вы улалите злокачественный код, в течении нескольких дней появится другой. Вирус состоит из нескольких частей, как я понял: исходник (находится в файлах, созданых по разных директориях, имеет нестандартные названия, кучу букв или цифр), живой макрос (находится и убивается Касперским при копировании сайта на комп), декодировщик кода (где-то в теле файлов сайта блок команд), злокачественный код (записан макросом в тучу файлов сайта), ну и куча созданных дыр в рассылке, в доступах и т.д.
Я как человек далекий от хтмл и пхп, разбирался и чистил месяц, за это время посещалка упала в 4 раза, уже неделя прошла как сняты санкции поисковиков, а посещалка не вернулась, в двое ниже чем была изначально.

Потому поторопитесь.

[klimweb]

В настройках доменов на хостинге должна быть такая функция - ограничить файловые функции PHP с помощью open_basedir. Т.е. если взломают один сайт, вероятность, что взломают остальные, сильно снижается.
Ну а сканер, кстати, полезная штука (у меня на webhost1.ru). Сканируйте, ищите, удаляйте, и будет вам счастье!

[lorlus]

Друзья,спасибо за ответы, по работе сканеров, что можете подсказать, инструкцию какую или что-то вроде этого.