Странный редирект - Безопасность сайтов на Joomla

Заразились все сайты на хосте. Редиректит через ифрейм в js, сами строчки кода вычищаются, но через 5 минут все так же. Значит через шелл. Искал, искал сравнивая каталоги, искал с помощью fls.php. Есть подозрение, что это вообще через БД делается как-то.

Я понимаю, что проблема описана и расписана. Я бьюсь неделю, перерыл Google.
Может какая новая зараза? Мне не нужно все за меня сделать, подскажите куда копать

Из БД данные выводятся в контент

Из БД данные выводятся в контент

Так оно, конечно, но не могу найти саму дыру. Закрыл пока, вроде бы работает, но причину и сам шелл надо найти

Так оно, конечно, но не могу найти саму дыру. Закрыл пока, вроде бы работает, но причину и сам шелл надо найти

Причиной может быть из-за недостаточной фильтрации данных, просмотри все свои запросы к БД и там где требуется фильтрация отфильтруй, затем пробегись по переменным $POST, $GET ну и т.д, просмотри на инклуды... кстате сайты самописы или движок какой то?

Сайты на Joomla, свежей.
Пару недель было все ок, и вот вчера опять то же самое. Чистить смысла нет, не могу саму дыру найти

Мне не нужно все за меня сделать, подскажите куда копать

При таких исходных условиях копать нужно в сторону анализа логов доступа.

Есть подозрение, что это вообще через БД делается как-то.

Вариант возможный, если js вставляется прямо в страницу или как <script src="чужой_хост" . Если инфицированный js загружается как отдельный внешний файл со своего же хоста, делается это не через SQL-инъекцию.

Вариант возможный, если js вставляется прямо в страницу или как <script src="чужой_хост" . Если инфицированный js загружается как отдельный внешний файл со своего же хоста, делается это не через SQL-инъекцию.

Заражены js, сслыка идет через iframe, удаленные скрипты не подгружаются

SQL-инъекцией переписать js-файл "напрямую" не получится. Но (теоретически) инъекцией можно угнать админский аккаунт или повысить на другом аккаунте права до админских, а уже вторым этапом менять файлы. Однако, в данном случае я бы вариант SQL-инъекции принимал в расчёт в последнюю очередь. Гораздо более вероятны залитый через дырявый скрипт shell или угон пароля ftp.

Гораздо более вероятны залитый через дырявый скрипт shell или угон пароля ftp.

Все пароли сменил естественно сразу после обнаружения. Когда вычистил - еще раз менял.
Я согласен, скорее всего шелл, но не могу найти его, способы, озвученные на этом форуме результата не дали.

Упакуй сайт в архив, скопируй на локальный компьютер и распакуй у себя. Потом сделай побайтное сравнение файлов с дистрибутивом (или бэкапом). Рекомендую Beyond Compare. Можно сравнивать и удалённо по ftp, но получится не быстро.

Если нет никаких отличий в файлах, можно предполагать два варианта:
1. шелл установил сам с каким-нибудь модулем-компонентом-плагином-шаблоном (и он присутствовал изначально)
2. лазят через какую-то дыру на сервере. Если это shared-хостинг попробуй "прозондировать" остальные сайты на своём сервере на предмет аналогичного взлома (ищешь другие сайты на своём IP и смотришь, нет ли на них той же проблемы). Если есть - ковыряешь мозг хостеру, пусть он разбирается.