Вирус. динамическое изменением файлов.

Дата изменения файла редактируется при наличии определенного доступа. То есть:

1) Получаем информацию о времени изменения файла

2) Изменяем файл

3) Ставим дату изменения ту, что была до этого.

Необязательно должно быть, то что отдается в браузер. Может при помощи echo base64_decode(); отдаваться вредоносный JS.

UPDATE:

Есть вариант, правда не сказать, что он ТРУшный:

1) В самом начале включаем буферизацию и назначаем колбэк функцию для обработки инфы из буфера перед отдачей.

ob_Start('fuckBadCode');

2) Создаем функцию fuckBadCode()

function fuckBadCode($content)
{
	$PCRE = "|<iframe([^>]+)>([^>]*)</iframe>|is";
	$trueContent = preg_replace($PCRE, '', $content);
	return $trueContent;
}

В итоге мы из ХТМЛ кода удаляем вставку АйФрейма. Если интересно, можно удалить всё, начиная от docwrite и до закрывающей скобки.

урл покажите...

Милованов Ю.С, внутрь ничего не добавляется. заражаются именно js файлы... как там можно сделать функции вывода на пхп? никак. если я скачиваю файл и вижу что в нет вируса, то значит нет. Идет какое-то программное внедрение извне. В кроне ничего нет, вот и думаем сидим, либо дырка в плеске, либо где-то шел.

---------- Добавлено 12.03.2013 в 18:40 ----------

kgtu5, ввв.s!lvermed!a.ру ! - заменить на i

Мобильную версию отключите, все равно там только 2 строчки и ссылка на дле-ньюс...

kgtu5, и чо? я спрашивал про мобильную версию что-то?

айболитом пройдитесь.

дата изменения файла - вообще ни о чем не говорит, она просто подделывается.

Культура прет "и чо"...

Вот я с мобильника зашел, и чо...

kgtu5, причем тут культура-мультура, вы спросили адрес чтоб с мобильника посмотреть?

---------- Добавлено 12.03.2013 в 19:03 ----------

TF-Studio, айболит это что? Антивирус или ?

Чем плох мобильник? Редиректы хорошо видно с него..

Что вы с мобильника увидели там такого интересного, чтобы решить проблему? И суть вообще в чем вашей просьбы?