Внимание! У меня сломали десятки блогов на сервере!

Проверить свой комп на вирусы, поменять пароль на ftp и поставить нормальные права на файлы.

FTP аккаунт был не единый, пароли везде разные.

Вообще ужас какой то 🙁 сейчас обострение прямо, знаю что активно ломают все активно использующиеся скрипты. Именно вот за последний месяц волна прошла.

Может хостера ломанули?

На дедике висят.
Пока что нигде кроме WP не нашел этих инклюдов…..

Могли ли это сделать только потому, что права 777?
Если да, то почему эта фича до сих пор есть в WP, или она только для временного редактирования, а потом отключать сразу?

Какие выставить? 755 достаточно должно быть?

На дедике висят.

То есть, у сервака сисадмина вообще нет? Не удивительно, что ломанули.

Сисадмин не в состоянии проследить за уязвимостями скриптов и исправить их.
А также за моими кривыми руками, если конечно моя вина 🙁
Могли ли это сделать только потому, что права 777?

Там где не было прав 777 пока инклюд не был обнаружен.
Надеюсь проблема была только в этом. Хотя странно…. не должно быть такого имхо.
Продолжаю разбираться.

Еще обнаружено, что под раздачу попал файл comments-popup.php

Права 777 (666) могут "подставить" блог либо если на серваке хостятся другие, злонемеренные люди и сисадмин не принял мер, ограничивающих доступ к чужим директориям, либо если как-то вдули заразу, которая выполнилась. Что-то, кажется, писали про дыры, через которые в аплоады может быть загружен php-скрипт и впоследствии выполнен как обычный запрос.

755 кажется они тоже преодолели.

Если все пароли на ftp были сохранены в TotalCMD, то все же это мог быть просто троян на компе

не юзаю его, другой клиент

скорее всего ломанули именно сервак, если фтп аккаунты были разные а подлецы сломали все блоги сразу.
возможно получили ssh доступ или просто был баг в каком то одном "дырявом" блоге через который сломали все остальное.