Цитата:
|
"на удаленных компьютерах самих владельцев сайтов (веб-мастеров) воровал ftp пароли и через ftp правил нужные ему файлы"
|
Так и есть, это Pinch был.
Код 100% в .htacess. То что в индексе видно в коде через веб, а js скрипт отсеивающий мобильный трафик он достаточно заметный.
Я так понимаю, админ и так знает что проблема в htacess, он не может найти шелл через который его перезаписывают постоянно.
Там 60 с чем то сайтов на данном ип половина на ВП и джумле, ломай не хочу.