Сайт заразили! Посмотрите кто может подсказать где искать зарау - Безопасность сайтов на Joomla

Сайт portall.com.ua   сегодня зашел - не открывается, и антивирусник орет что сайт заражен. Пробовал искать по eval(base64_decode - не нашел ничего, по base64_decode выдал кучу файлов но вредоносного кода там нет, хотя вирус то сидит, вот он http://view.xscreenshot.com/561e9406940081de749ff6c83ccd37d8
Подскажите кто может, что искать, как избавиться от вируса!

я опсмотрел топик не скрою вкользь, но решения не нашел, может кто-то не ссылкой на тему а каким-то конкретным советом поделится? Ну очччень нало

Да уж nick71
Если вас заразили, то что тогда с вашими клиентами?!

нет желан

Да уж nick71
Если вас заразили, то что тогда с вашими клиентами?!

нет желания вдаваться в полемику - это точно, я здесь не для того, я думаю что к сожалению и не у таких гуру как я бывают подобные ситуации. Все вышеприведенные ссылки проштудировал - не помогло, может кто дельным советом поможет?

Грустно то как.
Вот некоторая информация, может поможет


Обратите внимание на
Проверка:http://xcgulzx.wikaba.com/rsize.js
Размер файла:392 байт
MD5 файла:51bfd7258329f7c6c05af09801d96079

http://xcgulzx.wikaba.com/rsize.js infected with JS.IFrame.387

Пишут вот о таком...

Совет. Для начала найти вредоносный код в php и inc файлах и удалить его. перед этим сменить пароли на админку и ftp и никогда больше не сохранять их в клиентском софте.

Ответ Да код то я удалил, он сидел только в стартовом index.php (жаль не записал последнее время изменения файла). Теперь буду проверять его регулярно, по времени изменения index.php проще будет искать потом.

И вот...

Уязвимость модуля Joomla com_jce, всем срочно обновиться!
Кто использует модуль com_jce произвести его обновление до последней версии
Пресс релиз на сайте модуля http://www.joomlacontenteditor.net/news/item/jce-and-your-sites-security

При взломе осуществляется запрос на сайт, который позволяет в любую часть сайта записать файл:
POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form

Сейчас наблюдаются случаи, когда злоумышленник закачивает файл sejeal.jpg или x.txt в корень сайта.

Грустно то как.
Вот некоторая информация, может поможет

Спойлер

[свернуть]

Обратите внимание на
Проверка:http://xcgulzx.wikaba.com/rsize.js
Размер файла:392 байт
MD5 файла:51bfd7258329f7c6c05af09801d96079

http://xcgulzx.wikaba.com/rsize.js infected with JS.IFrame.387

Пишут вот о таком...

Совет. Для начала найти вредоносный код в php и inc файлах и удалить его. перед этим сменить пароли на админку и ftp и никогда больше не сохранять их в клиентском софте.

Ответ Да код то я удалил, он сидел только в стартовом index.php (жаль не записал последнее время изменения файла). Теперь буду проверять его регулярно, по времени изменения index.php проще будет искать потом.

Я вас очень прошу, ткните меня мордой что именно надо сделать, в каких файлах какой код удалить, пажалустааа!

Могу предложить свою схему борьбы с "новогодним чудом":
- прогоняем  сперва fls (есть на форуме)... выявляем дыры, иначе последующие действия смысла не имеют. Вирус будет появляться вновь и  вновь;
- ищем инъекцию в js... заменяем replacэ'ом (есть на форуме) на пробел;
- ищем вхождение tressa (у меня были и эти остатки);
- проверяем вход на сайт (ошибки сценариев);
- вход в админку
- меняем пароль в админку
- обновляем Joomla и компоненты
много, конечно, еще нюансов... но всю информацию нашел здесь и она действительно полезна.

p.s.: при всем уважении, второй пост все-таки стоит "изучить"!

Обратите внимание на
Проверка:http://xcgulzx.wikaba.com/rsize.js
Размер файла:392 байт
MD5 файла:51bfd7258329f7c6c05af09801d96079

я не понял если честно что это, ссылка не на файл на сайте а на левый сайт. Поиск по файлам и в базе ничего не дал, подскажите