теоретическй взлом - Безопасность сайтов на Joomla

Пришло письмо от хоста:

 На Вашей учётной записи были обнаружены несанкционированные действия, вследствие этого Вам ограничен доступ в панель управления хостингом Plesk. Вам необходимо:
1. Проверить компьютер с которого осуществляется доступ в панель управления на наличие вредоносного ПО
 2. Проверить папку   на предмет наличия вредоносных скриптов(Доступ ftp/ssh)
 3. Сообщить службе технической технической поддержки о проделанной работе.
 4. Сменить пароль, следующим образом: ссылка

Первым делом меняю пароль ( на почте, и от панели управления+ фтп)

Захожу по фтп на своих сайтов( 3 штуки) в папках  cgi-bin на двух сайтах только пустые папки administrator
а на 1 сайте,(с которым в основном работаю (за день  письма от хоста я  обновлял Joomla  с 1.6.3. до 2.5 + устанавил jComments новый, все скачивал с ОфСайтов)) помимо папки administrator были папки , termoplenka.net , test
в папке тест был файл test.cgi , который мб и не вредоносный (я не разбираюсь)
содержание которого:

первым делом удалил его.

Уточнил у суппорта хостинга , он сообщил, что на всех трех доменах в папке cgi-bin был вредоносный код.
Но у меня на других сайтах там вообще пусто, а по логам через Plesk panel  последний раз эти каталоги редактировать в прошлом году.
на домене termolenka.net  уточнить когда были изменения не могу, т.к. удалил 1 папку, и теперь последние изменения числятся сегодняшним днем.


Из того что сделал: проверил  сайт доктором вебом на вирусы : нету.
Поменял пароли от БД,Почты, plesk panel, ftp, от каталога termoplenka/administrator, от админки Joomla.

НА моем ПК установлен фаервол+антивирус от Нода. Вирусов не найдено.

Посоветуйте  как действовать дальше.

поковырялся в старых резервных копиях, файлу test.cgi как минимум пару недель.
дополнительно проверил комп drweb-cureit

Пришло письмо от саппорта:

Здравствуйте.
 Спасибо за сообщение.

 Под вашим логином была по предпринята попытка подбора пароля к вашей учетной записи.
 Мы были вынуждены среагировать на данный инцидент. К счастью, если в папке cgi-bin Вы не обнаружили скрипты, это означает, что попытка заливки скриптов была не удачной.
 Ниже приведена статистика заходов в панель под Вашу учетную запись, если некоторые IP адреса вызывают сомнения, рекомендуем Вам срочно изменить пароль в панели Plesk.

Случайно не komtet.ru хостер? вчера такая же история была , у меня подозрение на соседей по хостингу .... хотя я совсем не спец .
с папке  cgi-bin была куча всякой хрени, всё удалил написал хостеру .... пока всё норм.

Случайно не komtet.ru хостер? вчера такая же история была , у меня подозрение на соседей по хостингу .... хотя я совсем не спец .
с папке  cgi-bin была куча всякой хрени, всё удалил написал хостеру .... пока всё норм.

именно он=)
У меня пока всё тихо.

посмотрите в панеле в заданиях ничего нет? я сейчас там тоже удалил  какие-то задания,  похоже проблема у хостера
надеюсь что проблема "была"  и больше не повториться

habrahabr.ru/blogs/infosecurity/138919