Троян в теме "Willkommen" "Всех приветствую!"

Спасибо Кэп. Схеме с отжимом вап трафика через .htaccess уже года два. Я в этой теме писал это полгода назад уже - бестолку :).
Первый доступ получают с логов кейлогерров или через уязвимости паблик движков. Тут мне кажется второе.

Обясни мне какой смысл закрывать фтп/ssh если там веб шелл?

Еще раз, при желании это все находится, чиститься и закрывается за 20-30 минут. Это уровень "у меня зимние каникулы, я зарегался на ачате и стал хакером!". Почему администрация форума этого не может сделать уже полгода - большая загадка. Но дело хозяйское.

Он не связан с темой.

А почему антивирусник ругается когда я хочу открыть страничку в этой теме?

Я помню, коллега. Я пишу доступным языком, чтобы люди поняли. Мы же не на хабрахабре. Фишка в веб шеле и в том как заражались файлы.

Сначала через FTP логи найти веб шел, потом закрыть доступ FTP. Заодно поменять порт SSH.

Если полгода, то это уже не загадка.

Я с завидным постоянством транслирую информацию о проблеме администратору, а он хостингу. Видимо, не все так просто, раз не могут починить до конца. Хотя уже есть предложения предоставить понимающему человеку возможности реализовать свои умения за 20-30 минут. Кроме этого, объясните мне, пожалуйста, почему проблема не возникает на множестве компьютеров, оборудованных одним и тем же видно усом и Касперским?

Когда посетитель открывает сайт, сервер всегда видит, с какого устройства его открыли, вернее, с какого браузера. Эта возможность предусмотрена на сервере чтобы сайты можно было оптимизировать под разные категории посетителей. А вирус меняет настройку сервера таким образом, что когда тот видит посетителя на мобильнике (iphone, android), он вместо нормального сайта перенаправляет его на левый сайт, содержащий вирус. Эта настройка, как уже писал Maximus, находится в файле .htaccess. Каким образом хакеры снова модифицируют этот файл после того как админ его восстанавливает -- вот что нужно понять. В моём примере это был веб шелл - т.е., грубо говоря, страница на сайте, которую, зная адрес, может открыть любой желающий из любой точки интернета и творить с файлами на сервере всё что ему хочется.

На компах вирус вообще не должен быть виден, я не знаю на что у людей срабатывает Касперский. У меня на компе ни разу вообще не ругался. Его нельзя обнаружить, открыв сайт на компе, в принципе. Возможно, просто у кого-то браузер так настроен, что сервер думает, что это мобильный клиент.

Не-не, в блеклисты попадает видимо.

Могу посоветовать просто хостинг площадку. Со своей стороны готов стукнуть владельцу/админу с просьбой уделить особое внимание вирусу и проблемам безопасности при переезде.
Локация - свой ДЦ в Праге.

Да ну, ради этой ерунды менять хостинг... Главное, что всё можно прекрасно найти в логах, почему никто этим не займётся, не понятно.

Проблемой занимаемся, 2 специалиста работают, отслеживают логи

Опять вирус был прошлой ночью.

эм...
Я правильно понимаю, что:
1. .htaccess переписывается изредка, в произвольное время
2. всем лениво искать проблему в хостинге, потому что он дремуч, запущен и никому не нужен?

Ну поставьте тогда переписывать .htaccess по крону на нужный - не? Зачем каждый раз админам руками восстанавливать - пусть восстанавливается периодически само, нагрузка от этого мизерная ;)
С правами можно попробовать поиграться, в конце концов. Если нормально нет желания искать проблему - ну столько ж подпорок можно придумать!

Я даже предлагать не стал такое решение, это кривизна называется. Там где-то лежит веб-шел через который всё это и делается. Почему по логам не могут проследить это, для меня загадка.

А может там апач под рутом работает.