В каком-то из сторонних модулей вредоносный код

Pillott (21.07.2012/19:58)
Не только. Например зная кто тебя грабит. Можно этот раздел на несколько минут у себя на сайте закрыть от посетителей, сделать у себя дырку (например форму загрузки), зайти на сайт граббера и загрузит

Интересно. а почему ты думаешь что файл загрузится? На сайте который грабит нет же обработчика формы. Так что будет просто форма-пустышка.

~XeOn~, я к примеру написал, а если сесть и подумать хорошо, то уверен что что-то придумать можно

Чую что тема может пойти по новому развитию - как взломать сайт который вас грабит

UA95, ну вредоносный ява скрипт по идее можно подсунуть.

Про куки я писал выше. Кроме яваскрипта ничего хуже не сделаешь.

у меня три граба или четыре стоят, два порно, гороскоп и картинки

UA95 (21.07.2012/21:54)
Куки стырить можно

Шелл вроде бы залить можно

Господа, выже какие-никакие но всётаки кодеры, а ведёте себя как гадалки а может это а может то...
вобщем по предложению фублин прочёл всю тему (хоть и заиался) , проведя несложную сестиматику, могу сказать следующее:
вредоносный код встречается
1) в пхп (соre.php)
2) в хатеске
как
1) переадресация пхп
2) переадресация яваскриптом
&3) не встречается код переадресации хтмл

прочитав все ваши варианты вижу их неподтвержденными:
1) у всех разные хосты и даже вдс
2) многие не юзают фтп
3) многие не используют грабы
4) у многих тока 1 модуль

но исходя из того что код в коре встроен в самое начало то а) он распостраняется автоматически б) его впиисывает нуб.
Далее, код внедряется на разные сайты (даж на этом гдет с 1,5 месяца назад нарвался и грешным делом подумал: "докатились" к стати в тотже день был аналогичный яс на дкмсе, куда они вели было неинтересно т.к. подумал что это обычный аларм админа)
А тут паника поднялась ... И так оценим сайт операупд: 1) дизайн не соответствует старикам распостранителям алармов т.е. админ решил отличится либоновичок в партнёрках 2) у ссылки нет рефки т.е. админ и есть ваш взломщик т.к. всё бабло пойдёт нему 3) линк на соглашение находится на другом сайте 4) само соглашение в формате тхт
Таким образом я предлагаю "искать не яйца а курицу которая их несёт" - найдёте его и он сам всё расскажет. Поэтому логичней было бы "наезжать" на партнёрку ид учасника которой нам известно.
Они скорее всего с радостью сдадут своего пользователя со всеми его реквизитами, лишь бы остаться самим на плаву.

&(фак я же с тела пишу, нельзя же делать такие маленькие текстареа)
также имеются "пути одиночек" чтобы узнать как эта курица несёт зоолотые яйца. но для этого нужен подпорченый сайт ...
да, и исходя из темы лично я вижу что путьей подпортить сайт известно алармщикам как минимум два
p.s. pilot, можно про раду подробнее мне в приват черкануть?

rafb, Писал я в поддержку СМС пп с просьбой дать данные их клиента - игнор.