На сайте стоит жумла, дааааавным давно кто-то залил скрипт который теперь каждые 1-2 недели добавляет трой в каждый index на хостинге.
У скрипта не хватает прав править файлы с 444, этим и спасаюсь.

Что делать, как найти скрипт, и вобще как дальше жить?

Обрались к хостеру.
Найди все файлы с 0777 правами поищи файлы по дате создания.
Вообще этим должен твой хостер заниматься.

Хостер отнекивается, мол это ваши личные половые трудности. По дате сздания - ничго не нашёл.

KaliKan, а ты пасс меняешь на FTP? Может бот сидит на твоей машине? Пиздит пароли от фтп, и потом автоматом ифреймятся все твои страницы. Кстати последняя крупная атака, которая была в сети грузила именно такую шнягу...

Возможно, что зловредный код, сокрыт в нормальных страницах... Злоумышленние дёргает его скажем через браузер, а дальше всё автоматом...

Хостер отнекивается
ничего себе! у клиентов этого "хостера" такие проблемы, а их саппорту
всё параллельно. что, если какой-то умелец запихал в крон скрипт добавления
троя?
как называется хостинг? страна должна знать своих героев!
Что делать, как найти скрипт, и вобще как дальше жить?
без паники! если хостер так и не согласился что-либо делать,
то тут, может, найдешь решение:
http://forum.antichat.ru/showthread.php?threadid=42965

Мультихост. Сканил анивирем дамп файлов с хоста - нихрена. Смотрел Get запросы в то время когда добавляется код в индексы - нихрена. Поудалял лишние компоненты - нихрена.

KaliKan, а ты пасс меняешь на FTP? Может бот сидит на твоей машине? Пиздит пароли от фтп, и потом автоматом ифреймятся все твои страницы. Кстати последняя крупная атака, которая была в сети грузила именно такую шнягу...

Возможно, что зловредный код, сокрыт в нормальных страницах... Злоумышленние дёргает его скажем через браузер, а дальше всё автоматом...

Ты имеешь ввиду что она делала с сайтом или как она это делала?

Пробовал сравнивать файлы с нормальными, пока ничего не дало, лишних подозрительных файлов нет.

KaliKan, я говорю, что как вариант - зараза сидит на твоём компе, если у тебя сохранены где-то пароли от фтп, она их сливает и коннектится к хостам, внедряя в них iframe. То есть заражение может происходить с твоей тачки.

Возможно, что кто-то из саппортов хостера протроянен... Код появляется только на твоём хосте или аналогичные жалобы у всех?

эм. скорее всего это прописано в кроне. попробуй посмотреть его задачи

Всё разобрал после доооооооооолгого чтения логов.