Сейчас стоит 1.5.26
Если вы используете сборку j1.5.26 со специфическими компонентами, которых нет для сборки j2.5 и выше.
Другое дело, когда в реализации работы вашего сайта используются стандартный набор Joomla при работе с контентом.
Что касаемо данного вируса, если на вашем сайте имеется уязвимость безопасности, то после чистки от вредоносного кода и сторонних вредоносных фалов с shell доступом к файлам сайта.
Ваш сайт будет в очередной раз заражён. Имеется некая закономерность заражения сайта или сайтов, стабильно через каждые две недели с небольшой погрешностью +- 3-4 дня.
Чтобы полностью понять заражён ваш сайт или ваши сайты, нужно внимательно изучать логи сервера или лог вашего аккаунта у хостинг-провайдера.
Я немного позанимался исследованием поведения данной вирусной атаки на своих сайтах и на выделенный сервер. Результат получился следующим:
- на первом этапе, с некого внешнего IP или с нескольких IP адресов производится определение движка сайта. Данная методика определения CMS очень простая.
Существует набор неких шаблонов, которые выполняются последовательными командами. Вся беда известных CMS заключается в том, что они используют открытую SEF технологию т.е. на вашем сайте ссылку к странице или компоненту можно открыть двумя способами:
1. использовать короткую SEF ссылку на запрашиваемую страницу на сайте.
2. использовать первоначальную полную ссылку (без использования SEF оптимизации ссылок).
Таким образом сетевой сканер узнаёт о вашем сайте практически всё. Путём запроса - отклика.
- на втором этапе, с внешнего IP или с нескольких IP адресов ведётся подбор ключей к определённым найденным компонентам, плагинам, модулям, шаблонам... через которые они получают доступ к определённой папке на вашем сайте или сайтах обычно это папка images. Разработчики веб-приложений иногда допускают общую ошибку при работе с файлами на сервере, в условии работы определённого скрипта при работе с графическими фалами имеется не строгие правила загрузки типов графических файлов, а также имеется грубая ошибка, когда загрузка файла несёт в себе первоначальные атрибуты CMOD, либо через тот-же скрипт можно менять CMOD фалов...
Именно через аналогичную уязвимость проникают на ваш сайт или сайты сторонние файлы, например 5464.php имеющие право запуска, не имеющие никакого отношения к вашему сайту. Через эти файлы злоумышленники получают доступ к файловой структуре вашего сайта, а также, они могут получить доступ к логину и паролю БД вашего сайта из файла конфигурации настроек CMS.
Первые признаки симптомов присутствия вируса на вашем сайте или сайтах:
1. Большая нагрузка на ЦП сервера.
2. Медленная работы сайта или сайтов расположенных на одном сервере.
3. В лог-файлах сервера присутствуют многочисленные подозрительные запросы, где очень чётко отображены пути запросов.
Выходом из сложившейся ситуации есть. Нужно хотя бы 2 раза в сутки просматривать содержимого системных лог-фалов сервера.
Алгоритм методики вычисления атаки на сервер я уже продумал. Технически это реализовать возможно.
для этих целей нужно некое серверное приложение работающее по последовательному алгоритму:
Превышен лимит нагрузки на ЦП сервера -> определение нагруженного аккаунта веб-сервера -> сканирование лог-файла, поиск значений соответствующих времени нагрузки на ЦП сервера -> результат поиска, сортировка и группировка исходных значений -> отправка результата системному администратору...
Хотя можно всё это делать и вручную.