И еще нужно искать шелл,через который залили левый скрипт
Сканер айболит в помощь
Касперский срабатывает на картинку с вставкой кода eval(base64_decode , как на вирус.
Я не могу быть уверен,что Касперский потом не сработает у пользователя , загрузившего сайт с этой картинкой в браузер.
Обязательно проверяю и файлы с расширениями .png, .gif, .jpeg
Открывал код Notepad++ и был вшит eval(base64_decode
Пересохранив картинку,код удалялся.
В точку входа на сайт
<?php if($_SERVER['HTTP_HOST'] != 'music-create.ru') die('Nothing interesting here. The original site is <a href="http://music-create.ru/">Мой реальный Сайт</a>'); ?>
в скайпе два юзера с pro-moestro- Москва и Самара
WAF and NAXSI или ставить расширения для CMS,выполняющие контроль безопасности
А если установить плагин Marco's SQL Injection - LFI protection и включить в параметрах отсылку на эмэйл, то будет легче жить ))
А попробовать , как в теме про Клон IP,в точку входа на сайт
<?php if ($_SERVER ["HTTP_HOST"] != "my_domain.ru" && $_SERVER ["HTTP_HOST"] != "www.my_domain.ru") die('Nothing interesting here. ' ); ?> ?>
/ru/forum/850530
Проверяйте яваскрипты насчет подключения файла с другого сайта,котрый промежуточный для загрузки вируса,на который реагирует аваст.
Если CMS движок- то проверяйте и системные яваскрипты,а не только в /administrator
loed,
Смотри в логах access.log запросы POST
