Помогите вычислить как забирается вирь...

saleseo, пожалуйста отпишитесь если будет новая информация.

Тема интересна и не понятна !

Просто так исполнять картинку сервер не будет, код в нее вшит просто хех редактором, а вот с остальным уже интереснее, что бы она исполнялась необходимо изменить в .htaccess.

1. Ищите в .htaccess правило на исполнение картинки как пхп

2. Поднимайте логи и ищите кто залил или изменил у вас .htaccess

1. Раз вирь то заливают, то удаляют. Значит есть файлы, которые были недавно изменены.

Найдите их... Как уже сказали, что вполне может быть замешан и .htaccess

У меня на одном сайте было подобное, залили в директорию файл трояна с расширением jpg и .htaccess прописали, чтобы картинки в этой директории как php обрабатывались.

2. Запросите и изучите логи подключений по фтп к серверу. Может быть, был обычный уход пароля фтп...

3. Проверьте логи веб-севера за последние дни. Возможно есть что-то подозрительное. Хотя если залили трояна, то скорее всего методом POST, а по стандартным логам фиг что понять. Сами данные POST не логятся ;(

Как вариант, дописать свой сриптик, которые будет делать "полный" лог включая параметры передаваемые при POST запросах (если не часто грузят файлы на сайт, то можно даже с сохранением всех аплоадов). Я так уже делал, опять же на одном сайте, так в "полном" логе удалось обнаружить sql-инъекцию, которая уводит пароль админа.

🚬 .htaccess

Его нет в помине....программер сказал что по картинке шло обращение..с гугл картинок.

Но больше ничего не найти😡

его может быть не видно в ftp клиенте

Опа) А как просмотреть🤣

это вопрос ?

Попробуйте WinCSP

Если это был вопрос, то включить в ФПТклиенте отображение скрытых файлов.

Вы уверены что он по http протоколу забирается на сайт?

Попробуйте сделать .ftpaccess на всякий случай (если его еще нет 😂), точно не повредит