Вы полагаете, что яндекс обходит сайты исключительно в моменты апдейта?
Ну не все же падение заметили и не все обратятся :)
Или пострадавшим объясняйте что это мошенничество и давайте телефон хостера. Ну и в милицию рекомендуйте обращаться им тож.
Это шелл, выполняет любые команды задавыемые злоумышленником при удаленном обращении к этому файлу (от имени пользователя веб-сервера).
https://aws.amazon.com/route53/faqs/
И ip -6 route покажите
При операциях с деньгами лучше вообще update не использовать, а то потом концов не найдете, куда деньги пропали :) только insert: приход +100, расход -100. Баланс - складываете (сумму можно закешировать, чтобы не считать каждый раз).
На какой платформе у вас виртуалки? Что за проц? Скорость сетевого канала? Есть ли IPv6? Ссылки на benchmarks?
Удивительно, но на сайте ответов на такие типичные вопросы не нашёл.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8377 оно? проверьте по логам, не было ли обращений к webasyst/contacts/ перед этим.
Восстанавливать из бэкапа, обновлять CMS и плагины как минимум, сменить пароль, сканировать на уязвимости и провериться на вирусы самому.
