Из за моментов конф-ти, я не смогу описать полностью принцип и структуру работы:

собираем логи, что бы найти дырку, в общем все просто, по факту чистим заливаемый вирус каждый раз, они ищутся тривиально, грепом, но проблема в том, что в каком то из обычных скриптов есть "дырка", дальше хуже, веб сервер работает с те же правами, что и фтп пользователь, залив один раз, через первичную дырку эксплоит уже через него можно все менять. найти ее не получается, пока что, доступы всегда с разных IP и по ним ослеживаются до уже ранее залитых шеллов и то не всегда, в общем мониторим файловую активность, пишем в логи, сравнивая, как и что, очень ресурсоемкая работа, два человека работает уже, причем можно случайно что то сломать, типа аплоуда картинок, шаблоны, все решаемо, вопрос времени, рано или поздно найдем, что и делаем. (иголка в стоге сена)

Lolo De Bordo
Меняется htaccess или js зловредный все время дописывается?
Почему нельзя ограничить доступ SSH/FTP по IP?
Меняют с правами рута или юзера?

иногда это хтаксесс файл, в конец файла дописываются правила для мобильных устройств с редиректами на какерские сайты
иногда заливают архив в несколько десятков мегабайт и распаковывают в каталог blogs
там файлов в этом каталоге несколько тысяч
все файлы содержат в имени файла какой то ключевой запрос из поисковика

сам подгружаемый файл заливается в каталог инклюдов под именем очень схожим с дефолтными файлами воблы

Короче ваш шел видимо ходит по рукам и перепродается)

Это сливают траф по юзерагенту. Может действительно как временное решение на крон поставить перезапись htaccess на нужный раз в минуту? Дима предлагал вроде.

А это дорвеи заливают + клоакинг.

А что за подгужаемый файл?

в общем надо искать дырку и ищем, через которую заливают шел

Почему вы не хотите ограничить доступ по сеткам ИП?

Вы можете еще по крону опрашивать размеры или дату изменения (там где это приемлимо) файлов, и тем же кроном бекапить в случае изменения.

Почему я спрашивал от кого идет запись httacess, если она от юзера, то просто назначьте права и овнера root.

Они не через SSH/FTP заливают, как я понимаю, а через дыру в PHP скрипте.

Но её можно найти. Надо посмотреть дату/время модификации заражённого htaccess файла и пошарить в http логах на этот же момент даты/времени. Там безусловно будет шел, который это сделал. Далее посмотреть на дату/время создания уже самого шела и снова поискать в логах. Это выведет на тот дырявый скрипт через который вам и загрузили этот шел. Скорее всего, это какой-то скрипт аплоада файлов (я предполагаю). Ну а уж в самом скрипте найти дыру несложно учитывая то, что он будет с параметрами... Если параметры передаются через POST, можно сделать их сохранение куда-нибудь на будущее чтобы в следующий раз найти дыру.

Если в http логах нет ничего на искомые дату/время, надо смотреть ftp логи. Но с ваших слов, грузят не через ftp. А вообще я все ftp логины на своих серверах закрыл, только SSH пользуюсь. А пароли ввожу из памяти (из головы, в смысле). ))

Денис,привет,подскажите,что такое?
Какую тему ни открою,выскакивает http://s020.radikal.ru/i702/1307/f1/0e111771cbca.png

Ну я, вообще-то, не спициалист, но в таких случаях чищу историю в браузере.

помогло,спасиб!

Модератор, что у Вас с форумом?? Касперский с ума сходит! Любое действие, любая страница и он всё блокирует....

какая ошибка? какой вирус?