Да это боты (автоматизированные программы) спамят по все сайтам где находят формы обратной связи.
Твои сайты просто под замес попали
Прикрути к форме обратной связи защитную картинку (каптчу)
Рекомендую эту от Google:
https://www.google.com/recaptcha/
Бэкап поможет, когда удалишь что то лишнее и убьёшь сайт)
$posts = $_POST('post'); ................... include $posts;
Потому что и не надо... ели он будет находить такое, то будет находить много чего лишнего. этот код я не встречал ни в одном из аплоадеров. Приведите полный код какого нибудь аллодера/шела (реально существующего и залитого на сайт)---------- Добавлено 07.04.2017 в 16:30 ----------Дело в том ,что все заражения которые сейчас происходят -массовые и рассчитаны в большинстве своём на рассылку Емайл спама или раскрутки каких то дорвеев или других сайтов в большом количестве. То есть, хакеру нужна массовость, у хостиногов есть лимит на рассылку писем, поэтому прятать бекдор в какой то один сайт очень время-затратно - проще массово, используя какие то скрипты для генерации случайных имён переменных или используя функция кодировки кода в связке с эксплоитами заражать пачками сайты. А минус любого автоматизированного способа как раз состоит в том, что его можно шаблонизировать при поиски заражённых файлов и вставок.
Случае, когда какой то один конкретный сайт заражается целенаправленно тоже отпадает и я объясню почему:
- надо потратить много времени чтобы выдумать код и спрятать его в файлы, чтобы потом его было трудно найти, но всё равно это ищется людьми по тем же логам POST / GET запросов
- будет лимит на рассылку спама и блокировка хостингом функции отправки е-майл или всего аккаунта или POST запросов
- это время лучше использовать для массовых заражений
На данный момент находит всё (перепроверял потом вручную). Дальше конечно те, кто заливает шеллы могут усложнять код для вставок
Ai-Bolit кстати в обычном режиме тоже не всё видит. А вот при сканировании в режиме "Параноидальный" находит всё (иногда правда лишнее, но если соображаешь в PHP то поймёшь где лишнее а где нет)
Я тебе ссылку кинул на инструкцию хорошую по лечению вирусов на сайте
С вероятностью 90% ) Учитывая массовых всплеск в январе-феврале сообщений и тем на форумах о заражении сайтов
Вирус попал через уязвимость в классе PHPMailer
/ru/forum/953300
Что нужно сделать:
1. Отключай POST запросы на всём аккаунте на время лечения
2. Скачивай поччерёдно сайт на компьютер ,сначала прогоняй Касперским (удалит шеллы) ,потом Ai-Bolit, потом ещё ручками ищи и иcправляй файлы содержащие такие строки как "eval(", "\x", "chr". Обычно вредоносный код добавляется начало файла с расширением php между тегами <?php ... ?>
3. Закачивай сайты обратно
4. Включай POST запросы
И не забудь обновить CMS
на timeweb бесплатно выдаётся и автоматом продляется
Зайти в панель вебмастера гугла и проверь список своих Sitemap. Если найдёшь какие то левые, то значит твой сайт заражён и требуется его чистка.