>Лучше бы кто пару советов на предмет обнаружения симптомов подбросил. А теперь могу подсказать, как с этим можно бороться средствами пользователя. Проблема на стороне хостинга и тут уже ничего не поделат, если хостер ССЗБ. Взлом сайта производиться через ftp. Ботнет меняет пароль ftp доступа беквально в течении 30 минут. Затем по логам ftp можно засечь с каких ip и что конкретно загружается (причем, оно сначала даунлодиться на ботнет, а потом грузится) - переписываются корневые индексы. Тут собственно весь ботнет можно и подрубить по найденным в логах ip - просто перекрыть их в файрволе ;) Ну, а пользователям предлагаю удалить все ftp-бюжеты и перейти на ssh.