Kuznec37, проверьте файл .htaccess, смените пароли от ФТП, проверьте комп на вирусы.
наличие инородных файлов в корне. и редирект к ним(или вообще на иной сервер) через .htaccess.

Все вышенаписанное сделано, и не раз. Если кто-то не знает, у Битрикса есть собственная проактивная защита, настроили вырезку вирусного кода на ходу, но ничего не помогает, откуда появляется - не понятно.

Сообщение отредактировал OlegK - 24.5.2012, 10:00

Могу только по сочувствовать. Сам изгонял трое суток троянов.


Поиск по файлам делали? Бэкапы пробовали ставить? Можно посмотреть какие файлы изменены с момента появления вируса и от них уже отталкиватся.

Сообщение отредактировал LebedevStr - 24.5.2012, 10:57

где-то на хостинге видимо бэкдор или шелл лежит. нужно искать..

ТС, обрати внимание на слово "хостинг".

Отключили кроме одного всех админов, еще раз поменяли все пароли, шелл нашли, удалили, НО, атака продолжается, черт как-то заходит и прямо на глазах заливает шелл, работает видно через проксю, постоянно меняется ip: usa, испания, германия, канада и т.д.

Соседние сайты нужно проверить, если есть на этом аккаунте.
А что за хостер кстати?

Ищите Base64 и eval во всех файлах. Если есть какойто подозрительно длинный набор символов в той же строке - это и есть вредонос. Примеры и советы смотрите тут: http://www.maultalk.com/topic116023.html

как вариант, у вас висит какой-то процесс (вывод "ps aux" посмотрите через ssh), который смотрит, что происходит и принимает команды для загрузки всякой дряни.
около года назад наблюдал работу такого "сервиса", являвшегося частью ботнета. удалось даже перехватить их IRC сервер, через который они команды отправляли. схема была такая: в процессы системы внедрялся фейковый httpd (а при возмодножности заменялся полностью), который во все выдаваемые HTML документы ставил нужный код, который через IRC задавали. разработка фееричная и даже в каком-то плане впечатляющая.
вобщем варианты:
- запущенный процесс
- какой-то шелл на сервере вне ваших каталогов (если у вас вирт.хостинг)

1. Возможно грузять шелл через загрузчик, временно права на папки 755 поставьте, на те папки куда загружаются картинки.
2. Если шелл уже был залит, гляньте в директадмине может уже создан еще один аккуант под FTP
3. Возможно ломают через базу данных, смените пароль к базе данных.
4. Печальный случай, если чел прогер, мог написать скрипт который сам правит ваш шаблон, если это так, права на файл который изменяется 644
5. Искать шелл, смотреть код правленых файлов, FTP показывает время последнего редактирования файла
6. Самое хорошее это понять как ломают и как заливаю шелл, для этого возможно помогут логи аппача.

Да и для таких случаев, чтобы узнать что изменяется, что правится, что заливается и прочее лучше ставить
сканер