взлом блога (wordpress, photozip)

в чём вопрос то?

ищи шелл и лишние файлы на хостинге

Как правильно сказано выше, очень похоже на левый доступ через шелл или добавленного в систему зловреда.
Первое проверяется в логах.

Со вторым вижу два варианта:
Быстрый вариант – если есть рут доступ к серверу, можно переустановить аппач, именно аппач, не nglinx, и все его расширения, после чего пройтись по конфигам аппача и посмотреть какие расширения подключаются, нет-ли чего незнакомого.

Долгий вариант – как либо выяснять, какой из файлов аппача и расширений не соответствует себе.
Могли конечно куда-то ещё, не в аппач прицепить, но чаще всего пакостят именно там.

barmaley спасибо за ответ!
Логи перелопатил – увидел что сервер все время бомбят. поставил ограничение по попыткам и блокирование IP
В Логах кроме попытки подбора пароля ничего не нашел.

По поводу лишних файлов – в уплоадсах когда затираются картинки появляется .doc файл. Из исполняемых файлов ничего не нашел.
Апач переустановить не вариант – сервер живой порядка 20000 пос в сутки.
Я после взлома заменил версию движка и тему. Если файло левое есть то не могу найти где

Переустановка аппача, если есть рабочие конфиги, это порядка 15 минут. Хотя, ситуации конечно разные бывают, тут Вам виднее. Стесняюсь спросить, у появляющегося .doc файла случайно не установлен атрибут "исполняемый файл" ? В сам файл смотрелось? Что у него в потрохах? Если он появляется стабильно, наверное он для чего-то появляется, а не просто так, imho.

И при чём здесь движок с темой? Я говорил о файлах навроде mod_status.so которые подгружаются из конфига аппача как LoadModule status_module modules/mod_status.so

PS. Если уж пошла такая пьянка, может попробовать логинировать вообще всё что обращается к этой папке? Винт конечно будет расходоваться очень сильно, но хоть определитесь, какой конкретно процесс удаляет файлы, всё-таки зона поиска сузиться.

ну я один раз стабильно видел – перед тем очищал директорию.
по поводу so я не проверял – гляну! И насчет логов-всего Вам отдельное спасибо!

Кстати, не сразу сообразил спросить, было сказано:

"после этого в каталоге /wp-content/uploads/photozip (в ней к каждому посту имееться директория в которой храняться изображения к посту) все директории были удалены а файлы вынесены в корень.".

В корень чего были вынесены файлы?

Папки /wp-content/uploads/photozip ?
Сайта?
Файловой системы?

И при повторных удалениях, снова удалялась только структура папок, или уже вместе с файлами?
ОС какая стоит на сервере?

тут корень подразумевается – uploads/photoziр
так как вся иерархия строиться относительно ее
uploads/photoziр/директория_имя_архива/*
в итоге получается uploads/photoziр/*
а директория_имя_архива/ удаляются

Странное какое-то поведение для зловреда. Снести всё вместе с папками и проще, и вреда больше принесёт. А этот файлы перемещает и только потом пустые папки рушит.
Пока больше мыслей не имею, где собака могла порыться.

)) не проще, просто ошибка в скрипте или не заточен конкретно под wp
Этой фигней побито очень много dle сайтов, есть и на wp. Сначала шелл, потом исполняющийся файл с переписыванием index. Копия сидит еще в доп левой папке. Ну и в папку аплаод вгружаются страницы по типу дора. Убитый сайт работает нормально – единственно что в коде сразу за боди появляется карусель невидимых ссылок, ну и поисковики фиксируют увеличение страниц на несколько тыс. Пример на посмотреть – seoblog.org.ru

Цель в данном случае, как я понял, поиметь кучу ссылок, возможно трафик с зацепленных сайтов.

Ну а сайты- те просто в бан или под агс валятся.

сам в шоке – когда был взлом хакер затер БД и начались такие чудеса.
После данного происшествия поднимал новый сайт (на том же сервере) скачал новый движек Wp, заново тему перезалил, плагин скачал по новой. Но чудеса продолжаються.

Ссылок нет! Файлы не подменены! С этим тоже сталкивался – но это не мой случай