Backdoor.PHP/WebShell, Hacktool и прочие гадости на сайте - Безопасность сайтов на Joomla

Здравствуйте!

Возникла такая проблема с сайтом... При сканировании бэкапов антивирус Нортон нашел несколько Hacktool, Hacktool.Rootkit, троянов. После этого когда бэкап был проверен другим антивирусом (Microsoft Issensial) - были найдены еще Backdoor.PHP/WebShell и Backdoor:PHP/Seqangle. Причем файлы, который нашел нортон в основном были локализованы в папке img и еще один файл был прописан в корень. Элемент Backdoor.PHP/WebShell был найден в папке  Images в виде файла sh.php. Элемент Backdoor:PHP/Seqangle в папке administrator\components в виде файла config.php.

У хостера были запрошены ФТП-логи, правда они смогли предоставить только начиная с 8 ноября, ничего подозрительного там не было (никаких лишний IP). Хотя, например, файл config.php появился в структуре сайта с 1 ноября... Дата изменения других файлов стояла начиная с 21 ноября.

Версия Joomla 1.5.21. На сайт через админку есть 2 уровня доступа - Superadministrator и Administrator. Простому администратору доступны только некоторые функции сайта (работа с наполнением, каталогом, smfaq и т.п.).

Может быть кто-то сможет подсказать - каким образом эти гадости могли попасть на сайт? Это все-таки через FTP или каким-то образом они могли проникнуть через админку?? (не исключено, что человек, который использует доступ обычного администратора мог сохранить пароли к админке в браузере...). Это как-то можно выяснить?

Ну вариантов собственно немного:
1. Через FTP.
2. Через уязвимость Joomla (сомнительно) или сторонних расширений (как правило). Выяснить можно путем анализа access.log сервера на предмет подозрительных запросов.

Еще возможно через хостера, ну это совсем экзотический вариант.

Спасибо за ответ!

Хотелось бы уточнить, т.е. через админку взлом или проникновение маловероятно? Просто меня больше всего смутил файл Backdoor:PHP/Seqangle в папке administrator\components в виде файла config.php?

т.е. через админку взлом или проникновение маловероятно?

не совсем верное понятие "через админку"
Это смотря у кого какие права в этой админке и опять же возможные уязвимости расширений. Как правило люди имеющие доступ к админке обладают более расширенными правами чем обычный пользователь.

Просто меня больше всего смутил файл Backdoor:PHP/Seqangle в папке administrator\components в виде файла config.php?

если залит бэкдор, то можно делать все что угодно, в том числе и различные манипуляции с файлами в любой директории.

Скажите, пожалуйста, достаточно ли будет просто удалить с сервера вредоносные файлы и почистить код, если потребуется? или все же лучше скачать актуальную версию сайта, на локальном компьютере ее просканировать, удалить все что нужно и потом опять залить на сервер?

Скажите, пожалуйста, достаточно ли будет просто удалить с сервера вредоносные файлы и почистить код, если потребуется?

Не достаточно.
Нужно выявить саму причину (метод) взлома и впоследствии исключить ее.
Т.к. файлы и все остальное - это всего-лишь следствие. Если их удалить никто не даст гарантий, что завтра они появятся снова

сейчас нужно не трогать файлы ни в коем случае, а посмотреть дату изменения файлов, в которых вирус. С этой важной датой надо посмотреть - логи FTP и логи Apache - тогда будет ясно как - или увели FTP-данные у вас с компа, или через ошибки скриптов, при этом сразу видно будет через какой скрипт залили

Что самое интересное, хостер мне предоставил FTP логи, правда только за последний месяц. В этих логах указано, что в папку такую-то загружались такие-то файлы НО! в логах дата стоит 5 декабря, а на сервере (в панели управления хостингом) даты последних обновлений этих файлов указаны ноябрьские... Как такое может быть? Еще, в логах никаких лишний или подозрительных IP нет., только IP программера, который работает с сайтом и админа площадки (но он редко заходил).