Неудаляемые вирусные файлы

and2005, скорее всего по крону восстанавливаются. Проверьте crontab'ы пользователей:

for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done

Если будет что подозрительное, то:

su пользователь

crontab -e

Ещё вариант: где-то есть инъект в файлах сайтах. Стоит пользователю войти на сайт, он дергает код, который проверяет присутствие файлов и восстанавливает их, если их нет.

В качестве временного фикса можете сами создать эти файлы пустыми и выставить запрещающие права. Вирус не сможет их пересоздать.

Если есть доступ к логам, смотрите в логах, кто их создает.

Спасибо, буду разбираться

Для начала нужно закрыть доступ к сайту для всех, кроме себя.

Из первой части вытекает ответ на вторую часть: их создаёт сам сайт (точнее, юзер, с правами которого работает веб-сервер).

Если я не ошибаюсь, то в папке assets/cache в MODx лежат файлы, которые MODx генерит из базы данных.

Соответственно, если прописать вредоносный код в базу, то он и будет автоматом попадать в эти файлы. Так что стоит проверить такой вариант.

Сейчас вроде бы не появляются, Айболит не находит, и никаких проявлений зараженности не замечаю.

Надеюсь, что дело не в базе, а в каком-то файле, который удалил.

Надо было ещё и причину взлома найти. На всякий случай проверьте, пишутся ли логи на сервере. Понадобятся, когда в следующий раз взломают.

Посмотрите под каким юзером созданы, будет первый ключ к разгадке, что сломали

Думаю на плагин Ajax Search, в нем как раз недавно была обнаружена уязвимость.

Не знаю, можно ли это посмотреть, ведь создавались файлы в системных каталогах cms . Правда, был файл img со вставкой в середине, но я его уже изменил сам.