Стороннее вмешательство!

1) Открыть файл awards.php (в корне психостатс)
Найти:

!preg_match('/\d\d\d\d-\d\d?-\d\d?/', $d)

заменить на:

!preg_match('/^\d\d\d\d-\d\d?-\d\d?$/', $d)


2) Убрать ркон
3) Включить сортировку плагинов по дате, перекомпилировать те, что заменялись недавно (или же запросить у хостинга лог входов и действий на фтп и по нему заменить нужные файлы)

Все.

Меры безопасности:
- Кругом использовать сложные и разные пароли
- Если есть возможность всегда держать на одном юзере одну базу.
- Для всех веб-скриптов использовать отдельный фтп аккаунт с настроенными правами доступа из которого нельзя просмотреть/заменить важные файлы.
- Если есть возможность - настроить ограничения по IP.

Как обнаружить, что вас взломали с помощью sql- инъекции ?
Открыть все логи доступа Apache и глобальным поиском поискать слова: SELECT, UNION, FROM (каждое слово отдельно, но обычно по первому можно найти)

1. Психостата нету
2. Ркона нету
3. После заливки бекапа время плагинов не менялось, а взлом был.
Как я писал ранее, "злоумышленник" действует удалённо, и возможно не заходя на фтп сервера, так как я его менял.
Ситуация не стандартная, так бы уже давно решил. Я всё понимаю что дело в плагинах, я с ними разберусь, но думал что возможно знает кто-то в каком именно, для этого и создавалась тема, там скорей всего один из них с "дыркой", а придётся все перебирать из-за него.

Велман тебе никто не ответит в каком плагине бэкдор. никто не знает откуда ты плагины брал.
Я тебе свой вариант сказал уже

ркона нет, но сервер управляется через rcon, это же видно из логов. значит ставится кем-то. поставьте rcon defencer, раз не можете решить проблему иначе.
Сервер на хостинге? condebug включен? amxx cmds смотрели?

Сервер на хостинге, все файлы в папке configs пересмотрел несколько раз, ничего не увидел.
Пересобрал половину плагинов, поставил rcon_defencer.amxx, посмотрю что будет.

При чем тут файлы?
condebug и смотрите amxx cmds

эмм... не совсем понимаю о чём речь!

навряд ли поможет
видел плагины в которых хук прописан и по команде (в том случаи была команда /me ) на сервере задается rcon пароль
либо при смене карты задается пароль

нечего подпись такую ставить тогда.
обе команды можно выполнить в консоли сервера. condebug можно в строку запуска добавить -condebug

condebug - включит логгирование всей консоли в файл qconsole.log
amxx cmds - выведет все команды amxx, возможно среди них будет что-то подозрительное.

Проанализируйте логи хорошенько
Legenda, попытка не пытка.

если сервер на хостинге, что мешает обратится к ТП?
я думаю они гораздо быстрее вас найдут бэкдор

вообщем если пароля нет - значит его задают
задать пароль могут ваши
1) админы
2) плагины
3) некоторые библиотеки

второе наиболее вероятно
как mazdan сказал - amxx cmds проверить все команды

все плагины выключить и включать по одному
пароль не задан
после включения каждого плагина можно проверить rcon пароль (например через консоль (если консоль реализована НЕ через тот же rcon))
либо отправкой каких-либо запросов
если пароля нет - будет ответ что пароля нет (тавтология млин)
если пароль есть - будет ответ что пароль не подходит
такой своеобразной бритвой Оккамы и проверить плагины

это как вариант

а вообще дисассемблер в руки и вперед проверять каждый плагин по списку (поможет если rcon пароль простым образом задается, а не составным с хитростями)

Кстате, просьба к администрации форума проверить среди пользователей зарегистрированных на этот айпи 94.27.94.34, возможно у него статика и он является посетителем этого форума.

https://c-s.net.ua/forum/topic25525.html?hl=RCON+Defencer вот тебе и не мучайся,только версию 1,3 найди

rxcon defencer это всего лишь костыль. Лучше найти дыру. Смысла отрубать плагины и проверять нету, потому что rcon может меняться не сразу, а по команде

rcon_defencer я поставил уже, это я написал ещё в 25 комментарии.
Вобщем после того как перекомпилил половину плагинов и отключил несколько уже прошли сутки без взлома, посмотрю что дальше будет.

wellman, я даже знаю человека, который все эти пакости связанные с Броварами и ment.no-ip.biz делает. Он мне тоже подобное делал, пока я не понял и не спалил тут на форуме как он это делал. Общался с ним через ВК, вродь нормальный тип, только хз зачем таким делом занимается ...

Бо серверы пустые у него.