Backdoor.PHP.WebShell.fe, подмена содержимого файла.htaccess - Безопасность сайтов на Joomla

Несколько раз взламывали сайт, последние разы через .htaccess. выставляли запрет всем на доступ к сайту, в результате чего сайт за пару дней выпал с Google. После чистки файла .htaccess проблема повторялась.

Дописанное содержимое файла .htaccess.

После проверки Касперским каталога с сайтом обнаружились вирусы:
1) Backdoor.PHP.WebShell.fe
Был в папке public_html\modules\mod_system1
Обнаружились 2 новые папки public_html\modules\mod_system1 и public_html\modules\mod_system
Соответственно в системе были 2 неизвестных модуля под названием mod_system1 и mod_system

2) Trojan.Script.HTAccess.d
В каталогах .trash .htpasswds, .cpanel, etc, mail, public_ftp, был обнаружен файл .htaccess с данным кодом внутри.

Всю эту гадасть удалила, залила на сервер старый архив, в котором нету данных вирусов.
Вот анализ до лечения скриптом Sheel and Basic Backdoor Script Finder


Вот после замены, но смотрю многое есть по прежнему, поджскажите, пожалуйста, есть там шелл или это уже ложные срабатывания?

Вот эти проверить
File: /home/buyin/public_html/templates/rt_crystalline_j15/ase-save.php
String:: $_POST[
File: /home/buyin/public_html/modules/mod_exmenu-j15/mod_exmenu.php
String:: $_POST

Вот эти проверить

а как можно проверить?

Открыть в редакторе Notepad++ , и сравнить содержимое с файлами из дистра Joomla

Шаблон Crystalline от Rocket Theme куплен или скачан с вареза?

Шаблон Crystalline от Rocket Theme куплен или скачан с вареза?

скачен, но им не пользуюсь, лучше удалить?

Боюсь что простое удаление варезного шабоона может уже не помочь. Познакомтесь с моими рекомендациями в этой теме - http://joomlaforum.ru/index.php/topic,259825.msg1306847.html#msg1306847

Надеюсь это поможет

Вот эти проверить
File: /home/buyin/public_html/templates/rt_crystalline_j15/ase-save.php
String:: $_POST[
File: /home/buyin/public_html/modules/mod_exmenu-j15/mod_exmenu.php
String:: $_POST

файлы идентичны, на всякий случай удалила шаблон кристалайн
По идее ничего больше нету?
Спасибо

Познакомтесь с моими рекомендациями в этой теме - http://joomlaforum.ru/index.php/topic,259825.msg1306847.html#msg1306847

Не совсем ясно, как применять рекомендации. У меня на сайте нету такого кода как в теме

По идее ничего больше нету?

Так, а остальные файлы проверил?
 Я думаю, что я найду еще шелл.

Так, а остальные файлы проверил?
 Я думаю, что я найду еще шелл.

только 2 указанных вами проверила. Не подскажите, может есть какая то программа, которая сличает автоматом 2 файла? чтоб вручную не пересматривать код. Смотрела в Дримвивере
Заранее спасибо

Не подскажите, может есть какая то программа, которая сличает автоматом 2 файла? чтоб вручную не пересматривать код.

Таких программ много.  Сам пользуюсь и другим советую Beyond Compare (легко гуглится) - шароварная, есть 30-дневный пробный период. Позволяет сравнивать сразу целые каталоги со всеми вложенными файлами - находит новые файлы и выделяет старые, отличающиеся по размеру, CRC и дате создания. Во внутреннем редакторе сразу может показать, какие конкретно строки в двух файлах различаются. Сайт на сервере можно не скачивая сравнивать с локальной версией, т.к. работает и по ftp (но скорость работы может не устроить).

Таких программ много.  Сам пользуюсь и другим советую Beyond Compare (легко гуглится) - шароварная, есть 30-дневный пробный период. Позволяет сравнивать сразу целые каталоги со всеми вложенными файлами - находит новые файлы и выделяет старые, отличающиеся по размеру, CRC и дате создания. Во внутреннем редакторе сразу может показать, какие конкретно строки в двух файлах различаются. Сайт на сервере можно не скачивая сравнивать с локальной версией, т.к. работает и по ftp (но скорость работы может не устроить).

Спасибо большое, попробую.