Хакеры из косово - Безопасность сайтов на Joomla

Сейчас обнаружил на своих сайтах вместо главной страницы какую-то левую с заголовком "HACKED BY KOSOVA HACKERS GROUP - SPEEDCR4CK".
Заменили только index.php. Причем на хостинге пять сайтов, на Joomla 1.5 и на Joomla 2.5. Заменена страница на всех кроме одного, который в зоне com размещен.

Пароли в админку меняются регулярно и давольно сложные. Доступ по ftp ведет в пустую папку. Как они это делают? Достало уже. Раньше добавлялся только од в php страницы, теперь еще и это.....

Кто-то тупо дефейсит. Ищите шеллы и уязвимости. Не обязательно из косово.

Знать бы еще как искать..... а вот если на хостинге есть несколько сайтов. Это значит что они ломают каждый сайт или достаточно сломать один и ковырять все сайты?

Если под одним пользователем, достаточно один сломать. Ищите везде.

Знать бы еще как искать

Сканер в помощь
http://joomlaforum.ru/index.php/topic,198048.0.html

Пишите в ЛС помогу, недавно мне хтеч подменивали, а у вас index

у меня такая же ситуация.
В первых числах поменяли index.php - поставили на черном фоне картинку мужика, на фон пустили музыку, шрифты разные, основной смысл что сайт Hacked By Micky
поменяла назад данные на index.php.
Подумала, что это просто кто-то хакнул мимоходом, случайно, то бишь разовая акция.
Через сутки опять поменяли index.php - без картинки, без музыки, на черном фоне, красивыми шрифтами...
поменяла обратно index.php, поменяла пароли, поменяла права на index.php файл - поставила запрет на редактирование.
Через двое суток снова хакнули. Снова изменен index.php. Правда на этот раз на обычном белом фоне, скромно, простым шрифтом в верхнем левом углу простая надпись Hacked By Micky. На самом файле index.ph снова стоит разрешение на изменение...
Поменяла все обратно. Уже третий день тишина. Это значит что им надоело?
Расскажите, как это у них получается, или скажите какую инфу почитать на эту тему.
Я так понимаю, что это просто так делается? Никаких целей не преследуется? На сайте нет ничего важного, интересного. И зачем все это нужно было? Каким образом выбирается сайт для взлома - рэндом?

Как понравится выбирается. По приколу - показать вам свое превосходство. Ищите дырку и шелл на сайте.

@Alexa-KZ
ищите shell это не просто делается, а дверь остается и ошибочно думать, что индексную страницу подменили и все, если не удалите дверь и не залатаете дырочку, то придет следом другой бот, и явно не просто так от радикалов, а от васи-пети и др. и тогда просто подмены страницы вам не ждать а придется скрипты искать и сайт восстанавливать

Расскажите, как это у них получается, или скажите какую инфу почитать на эту тему.
Я так понимаю, что это просто так делается? Никаких целей не преследуется? На сайте нет ничего важного, интересного. И зачем все это нужно было? Каким образом выбирается сайт для взлома - рэндом?

It depends. Поверьте, все ответы во всех случаях будут разные. "Чистый дефейс", конечно, больше пахнет хакерским детсадом - большие дядьки на этом бабло делают.

Спасибо за ответы и советы!
загрузила на сайт сканер - Sheel and Basic Backdoor Script Finder, просканировала, выдал список файлов. Сижу изучаю что к чему....

Уже недельку гриппую, видимо из-за этого не заметила, что в корне появилось несколько новых файлов...
На первый взгляд три лишних файла (по числу взлома??)
1 тхт - в нем - Hackeado por HighTech Brazil HackTeam
2 тхт - в нем - Hackeado por HighTech Brazil HackTeam  No\One - CrazyDuck - Otrasher
3 htm - в нем - <b>Hackeado por HighTech Brazil HackTeam<br>  No\One - CrazyDuck - Otrasher</b>

Буду искать дальше...

А чисто теоретически - если я все с хостинга удалю и залью заново (как раз ре-дизайн нужен) - все дыры (открытые) пропадут? Особенно если с новым вариантом сайта продумать защиту? Или сначала нужно чистить, перед ре-дизайном?

Нашла кучу новых файлов, большую кучу измененных файлов...
Перезалила, переписала, поудаляла....

хотела скопировать скопировать себе вражеский код, при сохранении антивирусник на него ругнулся, сказал что вирус блэкдор и что-то там такое, мельком успела прочитать...
висел в файлах index.php в разных местах.

Мельком просмотрела код... Походу форма какая-то, через него как-то логинятся, есть функции логина, загрузки-выгрузки, файл-менеджер, управление базами, и всякое прочее....
жуть...

Получается вирус я нашла... Теперь осталось найти дыру? Потому что удаленные файлы это еще не закрытие двери?