Взломали сайт

SammoLove,
1. Всегда делайте резервные копии.
2. Обратитесь к хостеру, у него должна быть копия сайта.

Да, уже дали копию, спасибо

SammoLove,
Пожалуйста. Еще раз проверьте внешние скрипты, которые используются на одном аккаунте вместе с HostCMS, это могут быть форумы, галереи и т.п.

Я не использую других скриптов кроме простого, с открытым кодом, конструктора форм, который давно работает у меня не на одном сайте.
http://home.onego.ru/~nsg/downloads/index.php?action=form

SammoLove писал(а):

Я не использую других скриптов кроме простого, с открытым кодом, конструктора форм, который давно работает у меня не на одном сайте.

Этого вполне достаточно. Изучайте логи сервера, системы, FTP-логи чтобы подробно понять, что являлось причиной. Однако наличие стороннего кода сразу призывает к его проверке.

SammoLove писал(а):

Всё, тему можно закрывать — я нашёл — они полностью заменили основной макет сайта и css. При чём в css тупо записали то же самое, что и в макет. Жаль копий этого у меня нет, так что придётся делать заново

а у вас в папке templates кроме папки основного макета в других папках тоже файлы изменены? посмотрите

я пытался понять как происходила замена кода
получается что искали папку с возможностью записи

далее ведь в таком случае нужно было заменить все файлы в папке темплейтов тк неизвестно какой темплейт используется?

compaq писал(а):

а у вас в папке templates кроме папки основного макета в других папках тоже файлы изменены? посмотрите

Нет, только активный шаблон был изменён.
compaq писал(а):

я пытался понять как происходила замена кода
получается что искали папку с возможностью записи

Нет. Права на папку стоят 751.
compaq писал(а):

далее ведь в таком случае нужно было заменить все файлы в папке темплейтов тк неизвестно какой темплейт используется?

Да, впечатление, будто зашли через админку CMS.

SammoLove писал(а):

Да, впечатление, будто зашли через админку CMS.

Не нужно гадать. Все ходы в админке записаны системой, смотрите /logs/
Если был доступ постороннего - смотрите как зашел, если с первого раза - значит Ваш логин и пароль ему были известны.

А действительно, в логах на ту дату нет строки

А значит было сделано заменой файлов. Тот скрипт отправки форм действительно прозрачный и чистый, я проверял. Тем более это ж надо так умудриться не тупо index.php менять, а именно два файла именно в папке активного шаблона. В общем, буду почаще бэкапиться, впервые у меня взломанный сайт, надеюсь он не распросторонял вирусы в это время, а то ещё и гугл напишет про опасный сайт.

SammoLove,
Значит меняли файл не через центр администрирования HostCMS.

Варианты поиска причин в этой теме уже не раз обсуждены, дело за вами.