Постоянный взлом

[tegArt]

Добрый день. Зимой один из сайтов начали постоянно заражать всякими вирусами/iframe'ами и тд, сначала подумал что дыра в движке, все обновил.
Взломы не прекратились, мало того на втором ЧИСТО html'ом сайте (никаких дыр быть просто не может) в подпапке появился дорвей 0_о удалил, поменял все пароли в панели управления сервером.
Взломы продолжились, около недели назад на вылеченном сайте chudesa-mira.ru поменял права на папки и файлы с запретом на изменения, в корневой папке сайта всем файлам вообще поставил 444 чтоб уж наверняка.
Неделю взломов не было - сегодня все php файлы на сервере заражены. рабочие компьютеры от вирусов чисты.
Скажите, пожалуйста, что делать, как поступить, может как еще настроить сервер чтобы защитить сайты от взлома. честно говоря никакого удовольствия каждый день менять пароли, а на следующий все-равно чистить все сайты...
может это дыра на сервере из-за неправильной настройки? заранее спасибо за ответ

[swg]

Причины стары и не меняются, что бы вы там не говорили:
а) вирусы, крадущие FTP пароль, у вас
б) устаревшая cms
в) вирусы, крадущие FTP пароль, у провайдера (малая вероятность, но имело место быть)
На сервере искать причину появления
- логи трансфера FTP
- access лог web-сервера
Удаление файла, созданного вирусом, проблемы не решает, часто они создают еще файлики для контроля, маскируясь под модули cms.

[tegArt]

а) - не подходит, файл с правами 444 по фтп не поменяешь, или я ошибаюсь?
б) - в подпапке хтмльного сайта появился дорвей, никаких дыр в чистом хтмл без исполняемых скриптов быть не может
в) - хз
порылся в настройках - в "возможностях" был отключен рекомендуемый фаервол, включил - как думаете проблем меньше станет? :/ нужно ли его настраивать или при дефолтовых настройках включен самый безопасный режим?

[swg]

а) владелец пользователь; в домашнем каталоге пользователь может удалить
б) вот если бы у пользователя (системного) был бы только один html-ный сайт, то значит вирус запускается с правами root и выводить его может быть проблемно (но не на vds); наиболее частая причина появления такого - планировщик запускает от root (не через wget, а через php) какой-то скрипт в дырявом сайте.
Причину ищите, а не отписки; логи смотрите, делайте отладку сайта, сохраняйте post запросы. Фаервол не поможет.

[tegArt]

по логам идет брутфорс ssh, теперь хоть ясно куда копать

[swg]

Да не туда вы все смотрите, ssh вообще маловероятно, его у всех брутфорсят (армию дронов делают); так же, как и почту, и ftp. На брутфорс надо внимание обращать и закрывать фаерволом, если он ресурсов много отъедает.

[Aquasonick]

И к чему пришли?
Этим же страдаю.Правда на другом сервере.

[Valll]

Помогите и мне! Одолели вирусы. Подозреваю что залезли они на сервер с моего домашнего компьютера. Какой-либо сторонний умысел отметаю - коммерческих и каких-либо значимый сайтов у меня нет. Как мне от них избавиться? Может Аваст как установить на сервер? Такое возможно? Пожалуйста дайте совет.

[swg]

На сервере обычно самое действенное вычищать вручную.