Linux.by

Всем привет!
На моем сервере на всех сайтах стали появляться скрытые фреймы в файлах index.php и некоторых других. Поменял пароль для рута, запретил запись на файлы, но ничего не помогает - фреймы появляются вновь.
1) Как узнать каким образом происходит запись?
2) Какой пользователь это делает и какими средствами?
3) Как защитить сервер от атак?
Спасибо.

Это делается по FTP, скорее всего.

Если кратко, то это выглядит так : троян крадёт ftp-пароли из стандартных мест (браузер, тотал коммандер, фар и т.д.), лезет по ним, изменяет index-файлы, вставляет редирект на сайт, с кодом, исполняющимся в уязвимом браузере очередной жертвы, которая зайдёт на сайт. Далее по кругу.

Berserker, спасибо. Надеюсь смена паролей поможет.