Запрет создание файлов в .htaccess

Вам надо не журнал ошибок смотреть а логи доступа, то бишь access_log. Очень сложно закинуть нечто вам в сайт и не наследить (если конечно хостинг настроен нормально и хостер логичный). Так что имхо удаленно вам никто ничего не вылечит. Или нанимайте специалиста, которых в общем тут не мало или если все же решите разбираться самостоятельно, то алгоритм следующий: 1. удаляете ваши "волшебные" вновь появляемые файлы ,) 2. После появления вновь данных файлов смотрите в access_log, можно через поиск по имени файлов, кто именно и когда вам их "подарил". Скорее всего сразу перед закачкой файла, будет строка с обращением к файлу (папке), где у вас есть потайная дверь для зловреда.) Можете даже access_log выложить куда либо под пасс, подскажу вероятнее всего, откуда лезут.

CMS то какая? Joomla небось устаревшая или Instant какой-нибудь.

а каков замысел злоумышленника с вайлами php ? Если есть дыра то по идее он и так имеет доступ ко всем файлам сайта, зачем ему еще какие-то php загружать на сервер? Если злоумышленник планирует обращаться извне через браузер к этим вредным загруженным файлам, то просто запрещаем доступ извне к ним через .htacces и вуаля, злоумышленник ничего не может сделать, пусть хоть 1000 раз пересоздает эти файлы php

Как правило закидывают сейчас не для того чтобы прямо навредить взломанному сайту а для создания площадок под рассылку спама или дор заливают в подпапку как вариант. И если через созданный шел он может создавать рандомные файлы в директориях сайта-жертвы, то каждый раз запрещать все эти файлы в .htacces, бесполезное занятие, зловред просто создаст рядом другой. Дырку надо искать в сайте, смотреть логи доступа.

так можно взять список файлов (можно но не обязательно и папок) которые изначально имелись, вбить его в .htaccess, к ним разрешть доступ, к *.* (остальным) 404 или 403

Нормальные хакеры меняют .htaccess

IMHO если хакер чего-то пыжится через php то это школо какое-то дурное и глупое :)

Так что ТС проверьте ваш .htaccess

дор в подпапку - а мы на нее 403 :) не удаляем чтобы хакер не парился пересоздавая, перезаливая...

и далее спокойно ищем дырку... дырку то все равно надо найти... а то и .htaccess модифицирует...

Сделано почти тоже самое, в .htaccess стоит запрет доступа на эти два .php файла. Все ровно не помагает :(

не помогает от чего? что-то на сайте происходит? мобильный редирект? или просто эти файлы там валяются? ну и пусть себе валяются... ищите читайте гуглите как вашу cms сейчас ломают, качайте ставьте патчи, обновляйтесь до более новой версии т д.

может вы запретили доступ неправильно, запостите тут ваш .htaccess вам подскажут правильно у вас или нет...

тебе Jaf4 и webrock ещё вчера сказали - лечиться надо. Ну то бишь сайт лечить. Дыра у тебя там.. Ну те у сайта :)

Лечится будем, другого выхода не вижу, только посоветуйте хорошего врача, чтоб целиком проверил сайт и устранил проблемы.

---------- Добавлено 26.05.2015 в 00:32 ----------

Резервные копии сайта, который автоматом делается каждый день, со днем становятся все меньше по размеру, не смотря на то, что на сайте каждый день добавляется 5-6 статьей с рисунками. Как можно объяснить это явление? :)

bunagi, судя по названиям файлов, которые заливаются, это WordPress.

Обычно, вшивают какие-нить скрипты в шаблоны сайта, которые криптуют, а потом используют в своих целях. Вероятнее всего, надо тщательно проверить файлы шаблона (темы).

Закодированный php код надо раскодировать, а в скриптах темы найти вшитый шел.

Ух ты! А как по заливаемым названиям (eset.php и miles.php) ты узнал движок уязвимого сайта?

Лучше тему сменить :)