На сайте вирус? Появилась гадкая надпись во всех материалах - Безопасность сайтов на Joomla

Помогите, дорогие друзья, решить проблему. На нашем сайте во всех материалах появилась вот такая надпись внизу:


С отключенным редактором это выглядит так:


К счастью, надпись видна только в редакторе админки, пользователям извне не видна, но при поиске, как по сайту, так и в браузере высвечивается вовсю эта красотень.
Начала удалять вручную…. Долго придется и неизвестно насколько надежно. Надо же найти причину.

Кроме того, в том же редакторе все слова, выделенные жирным, отображаются кракозябрами. Для пользователей выглядят обычно.


Что это? Вирусы? Допустим, я удалю это и поменяю пароли, но как победить их радикально и навсегда?

в первую очередь проверьте сайт на наличие Shell.

Шел наверно есть, через него модифицированы файлы Joomla и эта дрянь из них подгружается. Сканеры в моей подписи может помогут.

Спасибо за ценную информацию! Воспользовалась инструментом fls.php и получила длинный список поврежденных (или подозрительных?) файлов. Наиболее часто встречаются включения вида:

String:: confirm(
String:: $_POST[

И по 1 разу:

String:: phpinfo()
String:: oRb
String:: c99
String:: NCC

Что теперь с ними делать? Удалять все эти включения (строки)? или файлы целиком?
Я боюсь повредить что-то важное.

String:: phpinfo()
String:: oRb
String:: c99
String:: NCC

Пути к файлам в которых скрипт нашел эти строки приведите.

Да что там... .../public_html/plugins/community/p8pbb/p8pbb.php

Это просто песня, высылаю оригинал для музея ... (выкинуть весь?)

Сейчас препарирую на компьютере, заметила, что в js файлах частенько встречаются выражения вида:

blank = 'data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///ywAAAAAAQABAAACAUwAOw==',
        loaded = [];

Но особенно поразили CSS файлы с такой вот матершиной чуть ли не на пару страниц:

(data:image/png;base64,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

То есть base64 еще отнюдь не признак вируса; вот в том-то и сложность, как отделить полезные вещи от вредоносных, если все так похоже.

Ага, а еще иногда сами разработчики кодируют функции.

То есть base64 еще отнюдь не признак вируса; вот в том-то и сложность, как отделить полезные вещи от вредоносных, если все так похоже.

учить php, и ни в коем случае не думать что сайты может делать и пенсионерка с 50 летним опытом домохозяйки
каждому свое 

Извините, если залезла не по адресу (не знала, что здесь принимаются вопросы только от высококлассных профессионалов; но они же и так все знают).
Я не "делаю сайты", я лишь поддерживаю один по мере возможности и сил. Только непонятно, почему опыт ведения домашнего хозяйства должен помешать в деле ухода за сайтом? По-моему, наоборот, заботливый женский глаз здесь совсем не вредит. Кстати, оригинальный лицензионный файл p8pbb.php так и выглядел.