да 755 поставьте права на файл sape.php,
интересно а почему именно на файл sape.php записывается, что именно под сапе написан, мда.

Глупость. Дописывается туда, где права на запись для nobody есть

я уже 2 раза менял пароль к фтп, налево не успел уйти

Если вирь дописывается только к этому файлу, то либо вирус на хостинге (не обязательно на вашем сайте), либо дыра в движке.

имхо дыра в движке...

у меня не код с сапой но ломали - все потому что опенсурс, а при переносе один хтаксесс потерт был:( так от меня и спамили какето арабские хацкеры. теперь закрыл

Зачем 755? Это ж не каталог. 644 вполне достаточно.

644 ставил - не помогает, сейчас пробую 444

Выставить права - это полумера. Закроете один файл, заразит другой. Оно по смыслу равнозначно запиранию дверей, когда уже все вынесли :)
Лучше всетаки посмотреть время модификации файла, связаться с хостером и по логам вычислить источник, ИМХО.

Закройте доступ на сервер через .ftpaccess и никто не потревожит. Только свой IP (или целую свою сеть) не забудьте в него вписать.

Человек правильно говорит, отключите фтп полностью, либо откройте для определенных хостов, а после этого требуйте(!) у хостера логи за дату модифицирования файла, иначе так и не узнаете, а сл-но не защититесь от своего недуга. Обращайтесь к своему хостеру, там все таки сидят знающие люди и они Вам всяко смогут помочь/подсказать, тк из shell консоли под рутом гораздо больше видно.