Проблема была в галерее - дырявый скрипт (дыру заткнул). Хакер применил технологию классического Google hacking, чтобы найти галерею с дырой.
Прощупывалась версия галереи и заливался основной скрипт с IP 217.20.118.150 (принадлежит netdirekt.de). Откуда сливался ещё один файл и брался код для выполнения из всех заражённых php-шников я проследил, на всякий случай запишу данные, вдруг кто узнает:
Домен: nomcen.biz (зарегистрирован у enom.com)
IP: 78.157.140.3 (принадлежит к массиву из 256 адресов принадлежащих svservers.com)
Может кто-нибудь посоветовать, что сделать кроме того, что написать этим хостерам и регистратору домена?
