На одном хосте 8 сайтов и три из них на Инстанте и были взломаны только те, где стоит Инстант.
В куче фалов был прописан вот такой код:
Сайтам уже больше года и никто их никогда не ломал, а тут прям как атака какая-то.
Какая версия у инстанта?
1.9
Знаю, что нужно обновиться, но у меня куча хаков стоит и полетит весь сайт из-за перехода на 1.10.1
Перед этим тоже стояла 1.9 и никто ее не ломал.
Комп на вирусы прогнал — ничего нет.
Пароли только поменял, но этим взломщикам пофиг, все равно взломали.
Комп на вирусы прогнал — ничего нет.

Понять как прописали кодИ как от такого защититься
И как от такого защититься?
Да никак уже. Для защиты и вышла 1.10.1
<?php
и вставлял
eval(base64_decode(
логи сервера подтерты начисто, через ftp их не вытрешь.
index.php и индекс шаблона скорей всего?
они вроде трутся через шеллоги сервера подтерты начисто, через ftp их не вытрешь.
они вроде трутся через шел
на то и намекаю. там еще magic_quotes отключены на сервере — хостер оригинал. взлом через фтп исключен, так как через фтп нет доступа к логам, они пишутся от другого юзверя. но найти шелл просто нереально, все файлы изменены допиской кода и у всех дата одинаковая, сайтов много, часть на другом движке, в одной папке даже инсталл от него лежит… единственный вариант, откатится на бекап на пару дней и ждать нового :(