Наткнулся на свежий разбор, довольно показательный кейс. Взлом не в лоб, а максимально тихий. В index.php или шаблон подкидывают обфусцированный кусок PHP, который сам по себе почти ничего не делает, а просто ходит на внешний сервер и получает инструкции. Дальше начинается самое интересное. В зависимости от запроса этот код может подменять контент, вставлять ссылки, делать редиректы или отдавать совсем другие страницы. Причём часто это работает выборочно, например отдельно для поисковых ботов и отдельно для обычных пользователей. В итоге владелец заходит и видит нормальный сайт, а в выдаче уже левые страницы, товары или вообще какой-нибудь "магазин", которого никогда не было. Это классический SEO-спам, просто в более продвинутой форме, когда используется доверие к домену. Фишка в том, что сам спам может не храниться на сайте как статический контент. Там лежит только загрузчик, который каждый раз подтягивает данные извне. Поэтому при поверхностной проверке всё может выглядеть чисто.

Такие штуки обычно залетают через дырявые плагины, темы или старые версии CMS. Потом сидят тихо, пока сайт уже не начинает проседать или ловить санкции.

У кого-то были похожие симптомы? Типа в индексе появляется что-то левое, а в админке всё чисто?