Взлом сайта. Как найти шел?

Теперь вообще беда с сайтом стала какая-то, сначало все нормально работало, а потом...

Ошибка:

Warning: mysql_connect() [function.mysql-connect]: Too many connections in /var/www/u133***/data/www/САЙТ.ru/system/database/mysql.php on line 6

Error: Could not make a database connection using u133***_prdet@localhost

Warning: mysql_close(): supplied argument is not a valid MySQL-Link resource in /var/www/u133***/data/www/САЙТ.ru/system/database/mysql.php on line 66

Что это значит?

На лини 6 код:

if (!$this->connection = mysql_connect($hostname, $username, $password)) {

Сайт теперь то открывается, то нет. Что-то странное.

На 66 линии код:

mysql_close($this->connection);

Кто похерил? Разработчики?

А может они сами эту дыру умышленно создали?

Бэкапы есть?

mff, да бекап-то есть... Сайт то открывается, то эта ошибка что вверху.

что-то усиленно коннектится к БД, видимо вредоносный код озорничает.

ну так разверните предыдущий

Сейчас та же самая ошибка? И что теперь находится в htaccess?

Стучите в асю, найдем и удалим вирус!

clamscan хорошо находит эти шеллы

только проблема в том, что удалив его - дыра не закроется - заново зальют и опять по-новой

Недавно как раз искал шеллы у себя, принцип такой: http://chesser.ru/blog/server-configuration/security-setup/

на все время поиска и удаления в .htaccess пишем Deny from all

потом сидим и смотрим логи на предмет дыры - затыкаем дыру, и повторяем см.выше.