Непрекращающийся поток жалоб пользователей на заражения сайтов вирусами заставил написать сие.

С чего все начинается?

    Пользователи Вашего сайта начинают жаловаться на то, что с Вашего сайта к ним загружаются трояны.     Вы набираете в строке браузера свое любимое творение и О! Ужас! антивирус начинает ругаться на скачивание трояна. Это в лучшем случае. Если Вас заразили старой версией или у Вас самые новые базы антивируса. В противном случае Вы еще долго не будете знать что у вас троян.

Как это произошло?

    Первая мысль конечно будет "Файлы лежат у хостера. В файлах появился вирус. Хостера взломали и мне дописали вирус." и переполненные праведного гнева пишите/звоните в техническую поддержку хостера.
Но Вы далеко не первый и сотрудник хостинга начинает Вам уставшим голосом рассказывать откуда этот вирус.

    Анализ возможного заражения привел к парадоксальному результату. Индексные страницы менялись после того, как проводилась авторегистрация сайтов в каталогах с помощью программы AllSubmitter или 1PS.ru. Сами программы, конечно, не виноваты, просто в базе данных находились "зараженные" ссылки. Простая логика говорит о том, что в этих базах находится одна или несколько ссылок на сайты, с которых загружается вирус-троян. Это конечно не единственный путь подхватить троян, но весьма популярный.
    Опять же простая логика показывает что регистрируют в каталогах свой сайт как правило создатели сайта и уже после того как сайт размещен на хостинге. А если есть хостинг, то и фтп акаунт есть для подключения и загрузки туда файлов сайта. А учитывая лень-матушку из-за которой фтп пароли сохраняют в фтп-клиенте, почему бы не своровать пароль из фтп-клиента на хостинг? Вот так и думает хакер. И подсадив на Ваш компьютер вирус-троян, похищает пароли и с помощью их уже подключается к серверу хостинг и дописывает в странички вредоносный код.
Хостера винить тут не за что. Взлома не было, перебора паролей не было. Просто к фтп подключился и ввел пароль с первого раза клиент. Вот так это выглядит со стороны хостингового сервера.

Что делать?

    Нижеописанное делать только после проверки локального компьютера на вирусы!!!
Во-первых: Немедленно сменить пароль на фтп акаунт.
Во-вторых: Немедленно сменить пароли на подключения к базе, почтовым ящикам, логины и пароли, которые хранились в конфигурационных файлах (хакер мог их уже посмотреть).
В-третих: Перезалить _все_ файлы из бекапа. Именно все. Вирус могли подсадить не только на самом видном месте файла, но и где то глубже спрятать.
При отсутствии бекапа _просите_ хостера восстановить. Именно просите, а не требуйте. И это должно быть просьбой, а не требованием ибо проблема это Ваша и хостер только по доброте душевной берется её решить.

Как сделать чтобы не повторилось?

Во-первых: Ставьте антивирусы!!! Они помогают. Не всегда, но помогают.
Во-вторых: Если выходите в интернет с определенного количества айпи адресов, то попросите хостера ограничить подключение по фтп вашему акаунту только с этих айпи.
Заражают Ваши файлы в основном с азиатских зараженных компьютеров, поэтому ограничение подключения только с украинских провайдеров уже поможет. А более точное ограничение сведет усилия хакеров почти на ноль.
В-третих: Не сохраняйте пароли в фтп-клиентах. Они уязвимы и своровать оттуда пароль очень легко. Пишите пароль на бумажечке и храните эту бумажечку в сейфе( ну или под матрасом если сейфа нет :) ).
В-четвертых: !Регулярно! проверяйте файлы своего сайта.

Якубовский Юрий.    
Технический отдел Besthosting.Ua