Где найти вредоносный скрипт на сайте? - Безопасность сайтов на Joomla

Здравствуйте!

Пароли сохраняла в FTP-клиентах. Файервола не было. Вот и поплатилась. Сайт взломали. При заходе на него делается редирект 302 на другой сайт.

С помощью он-лайн сервиса   http://www.unmaskparasites.com/security-report/ определила, что это Suspicious Inline Scripts.


У меня вопрос, где может прятаться этот код?

Индексные файлы проверяла (правда не все).

Одна попытка перезаливки файлов сайта дала тот результат, что редирект только при заходе  в админку.

Помогите, кто знает, где копать. Впервые с этим сталкиваюсь.

Ну блин, детский сад!
Качаете файлы себе на винт и ищите глобально по данному каталогу по вхожденияю строки top.location и все!, потом удаляете код и заливаете измененные файлы на сайт.

перед закачкой файлов себе на винт...
ОБЯЗАТЕЛЬНО проверьте компьютер с которого заходите на FTP на вирусы...
ОБЯЗАТЕЛЬНО антивирусом которому можно доверять...

иначе все ваша работа по удалению вируса с сайта, пойдет коту под хвост...

Была похожая проблема - спас бекап провайдера.
Но гада я вычислил. Заражены были ВСЕ яваскрипты и все файлы Index.

Спасибо за ответы!
Забыла сказать, что сайт весит около 870 mb, и связь по FTP постоянно прерывается, не могу скачать весь сайт. Может, кто знает, какие файлы конкретно отвечают за админку, их посмотреть в первую очередь.
Комп проверяла NOD3 и Cpyware Doctor, ничего не нашел.

основной объем вашего сайта, скорее всего составляют, изображения, видео или музыка, или архивы с программами или сканы книжек..и т.п....вот их и не качайте
скачайте только файлы движка...над ними и колдуйте...

недавно была ситуация, когда мне на лечение попался один сайт....причем на компьютере с которого осуществлялся доступ к FTP сайта стоял NOD с последними базами...и ничего не находил...человек три раза восстанавливал сайт...и всё равно он каждый раз опять заражался...
поставил Касперского...и он сразу нашёл бяку...которая и заражала сайт...

Спасибо за ответы!
Забыла сказать, что сайт весит около 870 mb, и связь по FTP постоянно прерывается, не могу скачать весь сайт. 

У друга была такая проблема. Он попросил хостера заархивировать сайт в архивы по 50 метров, а
потом скачал по фтп.
Может ваш хостер добрый?

Если осталась одна админка попробуйте как писал Stich SPb проверить в папке administrator все index.htm (.php) файлы. Мне кажется в первую очередь в папке templates.
И нужно сменить пароль на фтп. И не держать его в тотал коммандере если вы им пользуетесь.

Спасибо всем!

Не знаю как, конкретно я его не нашла, но все получилось!
Что я сделала?
1. Перешла на другой хостинг (платный русский), предварительно испробовав несколько бесплатных зарубежных, но там были проблемы с кодировкой, техподдержка не работала и т.д.
2. Поставила файервол Outpost. (Сначала COMODO поставила, но он заблокировал локальный хост, пришлось удалить).
3. Проверила компьютер на вирусы Dr.Web CureIt! (бесплатная утилита) и другими. В принципе, ничего не нашел, кроме одного кряка другого антивируса.
4. Бесконечное число раз меняла пароли, пользуясь генератором паролей.
5. При выходе из админки хостинга делала завершение сессии.
6. Удалила пароли из Totala и FileZiila.
7. Удалила файл .htaccess (пока не нужен вроде, а через него можно редирект делать)

Скрипт искала и с помощью поиска и вручную просматривала файлы. Но так  и не нашла.
Редирект по-прежнему продолжался.

Даже когда снова проверила сайт на вирусы с помощью он-лайн сервиса, и он сказал, что все чисто, редирект был все равно!

И тогда я зашла на сайт, набрав в строке поиска имя своего сайта http://www.altay-turizm.ru , но не стала переходить по сохраненному адресу, который выскакивает при этом, а заново набрала его и вот, о чудо, все получилось!   Сайт появился!

Что это было? И не повторится это опять, если я так и не нашла вирус?