Чебоксары, netbynet.ru ))))

Цитата
Олег Былинкин пишет: Подскажите как это остановить?

Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575

Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются). 

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения. 

Цитата

xschneider пишет: Цитата Олег Былинкин пишет: Цитата xschneider пишет: Если cron, то смотрите в cron.daily, cron.daily, cron.monthly Либо в самих скриптах которые выполняет cron? Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это? У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути. И еще вопрос, есть ли еще сайты на серваке?

Да есть, а они как то влияют? или в них тоже могли влить плохие скрипты?

С именем access_log создает файл только apache. Неудобство в том, что он может быть огромным по количеству строк и размеру. Путь /var/log/httpd/access_log