Раньше как правило они просто дописывали iframe в код сайта. Что лечилось методом «search and destroy», то есть простым поиском включения текста в файлы и удалением оного.
За последнюю неделю произошли некоторые тревожные изменения в поведении злоумышленных роботов. Сначала я обнаружил, что в одном из файлов cms (распространенной платной отечественной) пропали строки, отвечающие за вывод макета. Первый раз подумал — случайность или кто-то из имеющих доступ случайно удалил, когда встретил второй раз подумал, что робот обучен удалять строки из файлов конкретной cms (натравлен на нее).
Но потом обнаружился еще более интересный факт. Строки, выводящие макет были удалены в самописной цмс-ке, чем возможность натравливания исключалась.
Резюме. Новое поколение роботов анализирует php код (не знаю про другие языки) и удаляет строки, в которых распознает вывод макета. В моем случае из разных cms-ок были удалены строки:
eval(«echo \»$Template->header\";");
eval(«echo \»".$template_header."\";");
Такие дела.
UPD: Забыл написать, что происходит это по такой схеме.
Троян ворует с вашего компа данные фтп доступа, сохраненные чаще всего в total commander. Еще я слышал, что воруют из FAR но не знаю правда или нет. Отсылает на свой сервак. А сервак уже после того, как в каком-нибудь браузере обнаружена уязвимость, резким ударом прописывает на всех доступных сайтах iframe, заставляющий пользователя выполнить эксплоит.
Самое простое решение, которое я вижу — через ПУ хостинга ограничивать доступ к фтп. По айпи, по региону. Но пока насколько я знаю такого нет. Не сохранять фтп пароли это слишком геморройно. Вытаскивать каждый раз из текстового файлика…