Заебали уже... Каким-то хером судя по всему через блог заливается .php файлик, к которому с разной периодичностью с разных ip идет обращение. Этот файлик подменяет .htaccess'ы ВСЕМ-ВСЕМ сайтам на хостинге. Если .htaccess'а нет, то создает его в соответствующей папке сайта. В htaccess'е прописано перенаправление всех посетителей из указанных поисковиков (google, bing, yahoo и т.д.) на какой-то несуществующий сайт...
В общем, все симптомы идентичны прошлому разу (см. «Ломают гады…»), и скрипт заливают почти тот же, НО на этот раз к нему прилагался еще и скрипт рассылки спам-писем с моего сайта и .txt-файлик с 6032 mail-адресами для рассылки этого самого спама...
Что примечательно, скрипт модифицирует даже .htaccess с правами 444. Я пока что не могу врубиться, как это. Кто знает?
Есть лог-файл за предположительный день взлома, но, честно говоря, не сильно шарю и самостоятельно разобраться не могу. Первый запуск этого скрипта был в 7 утра. Надо просмотреть и разобраться с обращениями до этого времени. Их там до 50 штук. Кто может помочь?
Подозрение есть, что файл заливают через какой-то дырявый плагин блога. На прошлом хостинге мне хостер любезно сообщил, что меня «взломали по HTTP протоколу». Кто знает, как это?
WP и все плагины были последних версий.
Почему грешу именно на плагины? Потому что есть другие сайты на WP, но ламают почему-то каждый раз именно через блог. Возможно это просто совпадение в связи с тем, что злоумышленник каким-то образом мой недоброжелатель, но, честно говоря, мало вероятно, т.к. вредоносный скрипт довольно универсальный и больше подходит для создания массового бот-нета с целью рассылки спама, перенаправления и другой лабуды.
Как установил, что через блог? Потому что и на старом и на новом хостах вредоносный скрипт заливался именно в папку блога.
В комментах накидайте, плз, свои соображения и контакты людей, которые могут помочь подлатать дырку.