В последнее время листая темы на разных форумах, заметил что идет какая то волна взломов сайтов.
С вероятностью в 99% ваши сайты ломают школьники, которые не хотят работать и пытаются нажиться на честных вебмастерах.
Давайте вместе разбираться с данной волной взломов и закрывать наконец дырки в чудо скриптах.
В своем время когда я использовал популярные системы управления контентом, очень часто приходилось сталкиваться со взломами сайтов, размещали ссылки, заливали шеллы, крали базу данных с уник контентом или попросту сносили ее, как говорится, чем бы дитя не тешилось...

Хочу немного описать некий порядок действий которые помогут вам хоть как то разобраться и понять порядок взлома.
Обычно, взломам подвергаются забытые сайты или же сайты которыми редко кто занимается, все же если видно что за сайтом следят, вряд ли кто то его будет ломать, если только ради своего самолюбия и чисто похвастаться перед своими дружбанами сидящими на соседней парте.

Обычно, поняв принцип взлома, а именно как и через что попали к вам на сервер (речь не идет о зараженных ПК или же обычным дарением паролей) дает залатать дыру в скрипте, на самом деле это очень и очень кропотливая работа по выявлению хода действий хакера, на которые обычно отвечает лог вашего аппача, в логе показаны обращения к сервере, среди которых есть однотипные, возможно длинные ссылки обращений к серверу. Чем больше вы медлите по выявлению бреши, тем сложнее вам будет найти ее корни.

Тем не менее чтобы вам проще было убирать лишний код со страниц своего сайта, а так же лишние файлы или же узнать какие файлы были изменены или же удалены я рекомендую вам поставить чекер файлов , к примеру FileChecker.
Как он работает, его работа очень проста и должна быть понятна рядовому пользователю, тем более что все работу он делает сам. FileChecker запускается кроном, так же в любое время вы можете запустить его непосредственно перейдя по адресу системного файла. Загрузив файл в директорию вашего сайта и запланировав крон задание FileChecker приступит к слежению за вашими файлами:

1. Первое срабатывание по крону, FileChecker создает лог файл в котором хранит всю подноготную о всех ваших файла
2. Второе обращение к файлу FileChecker отправляет на ваш эмаил информацию о изменениях в директории сайта

Его информация содержит следующее.
1. Предоставляет список новых файлов, которых не было в ходе первой проверки директории
2. Предоставляет список измененных файлов на сервере (на тот случай если какой то из файлов правился)
3. Список удаленных файлов с сервера

Тем самым FileChecker поможет вам понять какие именно файлы добавились и какие новые файлы появились, вы сможет быстро изменить или же удалить ненужные файлы.

Так же, если у вас нет FileChecker и вас уже посетила напасть, выявить новые файлы, а так же файлы которые были отредактированы (перезалиты) вам поможет обычный FTP клиент, я пользуюсь Filezia, вы можете посмотреть время последней перезаписи файла или же время добавления нового файла. Конечно же это нудное и кропотливое занятие, но от этого никуда не денешься.

Восстанавливать сайты из бэкапа во многих случаях неразумно, так как вы попросту затираете следы и вновь даете хакеру воспользоваться чудо дырочкой в коде.
Лучше постарайтесь выяснить какие файлы были отредактированы и какие появились новые.

Если вы используете популярные системы управления сайтами, такие как нулевые версии DLE напичканные чудо модулями с красивыми, ненужными плюшками, то наверника сталкивались с данной проблемой. И со сложностью ее устранения. Я лично давно уже отказался от популярных скриптов, а тем более от нулевых скриптов, так как чем популярнее скрипт, тем больше спрос на выявление бреши в скрипте, ну а нулевые зачастую уже содержат код которые и позволяет хакерам делать с вашим сайтом то что ему захочется.

Наверное со времен развития скрипта DLE, менялись в ней только дырки, но поведения хакера оставалось одним и тем же, я не знаю, может фантазии у них не хватает или же возможностей, но что не сайт то все одно и тоже или приблизительно одно и тоже. Я сталкивался не скажу что со взломом, а вобщем то с дырявым загрузчиком, через который мне и грузили шелл, это было давно, но не думаю что, что то изменилось, так как все шеллы находятся практически в одном и тоже месте
/uploads/
/uploads/post/
/uploads/foto/
/engine/

Файлы могут содержать разные названия, даже например user.php, наверное это бомба со времен каменного века, так как сколько не приходилось видеть шеллы они обычно их так и называли shell.php иногда даже с версией шелла

Я хочу предложить в данной теме помогать пострадавшим в выявлении заразы, а так же пытаться отыскать бреши в скриптах. Думаю любая информация по теме будет полезна любому из нас.