Взломали сайт - помогите

В вашем случае нужно грамотно вычистить всю пакость с сайта и потом обновить движок. Судя по всему у вас нашли дыру на сайте и ломают через нее. Сколько бы вы не удаляли вирус, есть возможность его загрузить заново. Тут уже зависит от хакера: насколько он ленив

Нанять специалиста чтобы он почистил все шеллы и пофиксил уязвимости через которые проникают на хостинг.

Wordpress и так последней версии стоит (WordPress 3.3.1)

А сколько его услуги примерно могут стоить? Тут беда в том, что сайт некоммерческий и функционирует сугубо на моем энтузиазме, который к слову сказать после всех этих атак иссякает :( Задолбали - только вроде все наладилось - как опять...

- почистите свой компьютер от вирусов, поменяйте FTP-пароль, не пользуйтесь ломаными FTP-клиентами, не храните пароль в настройках FTP-соединения.

- восстановите сайт из бэкапа (если такую услугу предоставляет Ваш хостер и она есть в Вашем тарифном плане), или почистите пострадавшие файлы руками (тут хостер тоже может помочь - как договоритесь), или, в крайнем случае переустановите CMS (база на месте, картинки и шаблоны тоже можно сохранить, хотя тут нужно действовать аккуратно)

Возможно когда меняли тему могли занести шелл или тоеже самое могло быть и плагинами, посмотрите внимательнее файлы шаблона для начала, нет ли левых файлов и сомнительного содержания.

Проверял - вирусов не находит. Стоит лицензионный Касперский

поменял, но собственно как и писал - они переодически менялись.

Пользуюсь FilleZilla скачивал с офф.сайта

вот тут - да, действительно хранил пароль

восстановил, но это не особо поможет, как мне кажется, так как я уже писал, что сайт ломался точно так же около полугода назад. Т.е. дырка по идее в бекапе все равно есть.

вот об этом сейчас думаю - может сборка вордпресса была дырявая

---------- Добавлено 06.04.2012 в 12:46 ----------

Добавились новые факты

Ответил хостер - так как на моем аккаунте лежит не один сайт, то я просил проверить и остальные:

что интересно - эти сайты НЕ на wordpress (самописные скрипты). Соответственно используется какая-то общая уязвимость не связанная с движком. + в двух первых случаях шелл залили на сторонние скрипты, которые качались из Интернета.

А вот в последнем случае - это уже папка сайта.

---------- Добавлено 06.04.2012 в 12:51 ----------

Сейчас зашел на сайт и скачал файл /var/www/***/data/www/***/news/files/index.php Касперский вот что выдал: обнаружена троянская программа Backdoor.PHP.WebShell.ea

- поищите еще чем-нибудь

FileZilla и Total Commander в топе FTP-клиентов из которых утекли пароли, хотя, возможно, дело в их популярности. Но на всякий случай можно поменять и FTP-клиент.

- если машина заражена и пароль хранится в настройках FTP-клиента, пароль все равно "уйдет"

- для определенности посмотрите дату модификации скриптов и попросите у хостера FTP-лог за это время, чтобы понять по FTP произошло заражение или механизм заражения иной

Если сайт на shared-хостинге, то могут и через соседский аккаунт заливать всё что надо.

Вполне возможно, что на одном из сайтов у вас есть уязвимость, которая позволяет загрузить на сервер шелл. В самописах очень часто такое встречается, например есть форма для загрузки чего то и в ней не проверяется или плохо проверяется расширение файлов.

В вордпрессе в последнее время втречаются шеллы загруженные через уязвимость в timthumb.php и просто вставленные в один из файлов темы или плагина прямо через админку сайта.

В Joomla, включая версию 1.5.25 сбрасывают пароль в админку, а затем 3 способа:

1. Разрешают в настройках загрузку php файлов и загружают через медиа менеджер.

2. Вставляют вместо любого из шаблонов

3. Ставят левые модули типа mod_system и т.д, которые сами по себе и есть шеллы.

Шелл не всегда может находиться там, куда его загрузили изначально. Часто их прячут перенося поглубже.

- на особо кривых хостингах, на нормальном шареде такое невозможно