постоянно добавляется непонятный код

262
.
FixleR
Доброго времени суток. Впервые столкнулся с проблемой этой еще в 2013 году, когда посещаемость сайта была 10 000. Но до сего времени эта проблема продолжается, и уже напрягает.
В общем, имею скрипт самописного з/ц. Постоянно в системных файлах поверх всего кода добавляется этот код:
туц (+/-)



Я уже скачивал движок на компьютер, полностью чистил файлы от этого кода, но когда заливаю обратно, то код опять добавляется. Незнаю уже что делать.
Возможно ли такое что код внедрили в картинку дизайна?
.
И в системной папке system создается постоянно этот файл.
Прикрепленные файлы:
.
(\/)____o_O____(\/)
FixleR, права на папку поставь 744
.
Koenig, Да знаю что можно права поставить, но хотело бы узнать что за код и что он делает, мб тут найдутся знающие. А от счетчиков топ рейтингов может быть такое?
.
(\/)____o_O____(\/)
код явно вредный
может хостинг чудит
что за двиг?
.
Koenig, Скрипт самописный, автора не помню. Вначале на сервере сайт был, сейчас на хостинге джино, и тоже самое.
.
(\/)____o_O____(\/)
FixleR, надо все вычистить. там постоянно все перезаписывается . файлы пхп и жс
.
FixleR, необходимо провести ряд действий, что бы такое не повторялось.
Сейчас распишу:
1) Проверить все устройства с которых работаешь с сайтом на вирусы.
2) Забекапить сайт, перенести на локалку, вычистить из всех файлов этот код.
3) Пройтись по всем файлам сайта на локалке специальным антивирусом для поисков вредоносного кода в скриптах (не обычным антивирусом для компьютера, он мало что найдёт). К примеру можно использовать AI-Bolit, только учти, что проверка может затянуться на несколько часов.
4) Разобрать по отдельности каждый случай из найденных антивирусом (будут встречаться ложноположительные результаты) и при необходимости принять меры.
5) Пройтись поиском по всем файлам и поискать "base64" или "eval". Все найденные упоминания изучить, возможно там тоже вредоносный код.
6) Проверить антивирусом всё ещё раз, вдруг что пропустил (помимо ложноположительных результатов). Даже одного пропущенного скрипта хватит, чтоб все труды по очистке сайта были напрасны.
7) Сменить пароли от админки движка, панели хостинга, фтп, базы данных, почтового ящика, на который это всё завязано.
8) Поискать уязвимости в сайте. Возможно где-то используется уязвимая версия какой-нибудь библиотеки или полученные от пользователей данные недостаточно фильтруются при вводе/выводе. Особенно внимательно изучить всяческие формы загрузки файлов.
9) Установить правильные права на все файлы и папки.
10) Запретить исполнение скриптов из папок предназначенных только для хранения файлов, к примеру из папок с графикой.

Если это не поможет, то тогда возможно с хостингом что-то не так.
.
Большое спасибо!
Всего: 9