Повсеместный взлом от некого "Inje3ct0r" - экстремистский взлом? - Безопасность сайтов на Joomla

Вчера взломали все сайты на одном из моих аккаунтов. Информация подменена в индекс.
Сопровождается голосом из ютубе или фейсбука.
Вернул обратно, сменил пароль на аккаунт, но всё повторилось. Погуглил, понял что это повсеместный взлом.
Текст надписи носит экстремистский характер. В спойлере полный текст.

Вкладываю испорченный файл индекс (архив 7zip) для ознакомления, кому интересно.
Собственно если есть у кого какой опыт где искать дырку, пожалуйста поделитесь. Взломаны только Joomla 2.5
3.0 пока целы.

---------------------------------------------
--------------------------------------------- (спустя сутки)

Пообщался с програмистом, обнаружили в какой-то папке список конфигов всех аккаунтов хостера.
Получается взломаны (или на стадии взлома) все сайты моего Leaderhost!!
Пипец полный.
Написал им об этом, пока не верят. Простя показать эти конфиги, а мы их уже снесли.
А я пока думаю как и куда сьезжать и как лечить сайты.
Сегодня лег сайт на втором акке (у меня их 3 на лидере).

Заранее спасибо.

Это всё что нашёл в логах. 

версия движка, установленные компоненты, варез? Что говорят логи?

вы такое навзание темы не пишите больше - повсеместный!
вот так правильнее -

Вчера взломали все сайты на одном из моих аккаунтов.

, а то тут под разжигание межнацроз подходит весьма)))

да и народ зачем ЗРЯ пугать? если бы это произошло на 1млн сайтов из 100 млн Joomla-сайтов, тогда да, а так просто сеяние паники....

Ну может быть я первый из миллиона и завтра у всех будет.)
Хрен знает. Мне тут звонят клиенты говорят типа ты чего нас под статью подводишь...Срочно убери эту хрень.
Напугаешься тут.)

В общем Joomla 2.5.11 и вариации (9-14).
Компоненты типичные и нетипичные (Zoo). Вареза нет вроде. Избавился ранее. Сайты разные (7 штук) и врядли это от ПО зависит.

В зависимости от настроек хостинга, иногда достаточно взломать один сайт и оттуда уже получить доступ ко всем остальным сайтам на аккаунте. Версии движка обновить надо бы. Да и удаленный варез мог оставить после себя следы.

Хрен знает. Мне тут звонят клиенты говорят типа ты чего нас под статью подводишь...Срочно убери эту хрень.

интересно, звонят клиенты, которые вам платят за техподдержку или клиенты, которым вы сдали сайт под ключ и все?
у меня есть три таких терпилы)), которые за ТП платить отказались (причем смешные 2тр.сайт в мес), но регулярно докладывают о разных сбоях, ошибках и т.д., хотя у всех чистая Joomla с кастомной версткой шаблона, ВСЕ! просто у всех полторашка))) переход на 2.5 или 3 также был предложен... хотите узнать, что я им отвечаю каждый раз?)))

интересно, звонят клиенты, которые вам платят за техподдержку или клиенты, которым вы сдали сайт под ключ и все?
у меня есть три таких терпилы)), которые за ТП платить отказались (причем смешные 2тр.сайт в мес), но регулярно докладывают о разных сбоях, ошибках и т.д.,

В самую точку!! Причем у меня ещё более смешные 750 р в месяц.  
И что же вы им отвечаете?

И так что же можете посоветовать на счет этой пакости?) В отдел К уж оч не хочется идти.

И так что же можете посоветовать на счет этой пакости?

все почистить и обновить, и в дальнейшем следить за сайтами

все почистить и обновить,

Обновить обновил, а вот на счёт чистки ... может дадите ссылку на толковые рекомендации?
Я воспользовался скриптом AI-Bolit (с этого сайта), но тот сожрал всё память за сервере и подвесил его.)
Нужно чтото или по проще или другое.

Обновить обновил, а вот на счёт чистки ... может дадите ссылку на толковые рекомендации?
Я воспользовался скриптом AI-Bolit (с этого сайта), но тот сожрал всё память за сервере и подвесил его.)
Нужно чтото или по проще или другое.

ну так вы скачайте всю файловую структуру на компьютер и там ищите без всяких ограничений)))
единственно, установить программку, но это дело 1 минуты)) php-эмулятор Или чтото  там типа того))) у айболита все расписано

а вот на счёт чистки ... может дадите ссылку на толковые рекомендации?

они все толковые если их читать не между строк

у меня есть три таких терпилы)), которые за ТП платить отказались (причем смешные 2тр.сайт в мес), но регулярно докладывают о разных сбоях, ошибках и т.д., хотя у всех чистая Joomla с кастомной версткой шаблона, ВСЕ! просто у всех полторашка))) переход на 2.5 или 3 также был предложен... хотите узнать, что я им отвечаю каждый раз?)))

да хоть 100500 "терпил"!
Если кому-то 5 лет назад сделали сайт, на тот момент на актуальным и ("дырявым" на нынешний момент) движке, то это не о чем не говорит.
Нет тех поддержки - сдали сайт, объяснили как обновлять - все до свидания! Или вы хотите все свои поделки поддерживать в течении всей их жизни бесплатно? Тогда вам прямая дорога изобрети свою "не дырявую чудо СMS" и давать клиентам пожизненную гарантию, что ее никогда не взломают.

По поводу версии Joomla тут вообще не вижу никакой связи. Смотрите логи, что-то сомнительно мне что именно через движок или стандартные компоненты был взломан сайт, конечно учитывая что на тот момент была установлена последняя актуальная версия Joomla.

да хоть 100500 "терпил"!
Если кому-то 5 лет назад сделали сайт, на тот момент на актуальным и ("дырявым" на нынешний момент) движке, то это не о чем не говорит.
Нет тех поддержки - сдали сайт, объяснили как обновлять - все до свидания! Или вы хотите все свои поделки поддерживать в течении всей их жизни бесплатно? Тогда вам прямая дорога изобрети свою "не дырявую чудо СMS" и давать клиентам пожизненную гарантию, что ее никогда не взломают.

а кто говорит, что их кто-то поддерживает?))) я - НЕ!

чтобы память не жрал по ssh запустите php ai-bolit.php

Вирус так пока и не нашли. Сделали пока тупо каждые 5 минут замену файла индекс.

Вложил скриншот файлов левых в админке.

Вангую что там внутри...

Явно такого там быть не должно.

мля, ну на другой хостинг  попробуйте перейти и ли не перейти, а клон поставить. чо там за хостер у  вас, студенты мож какие... которые зарабатывают не на хостинге, а на взломе своих клиентов?

вот у них http://www.uceprotect.net/rblcheck.php?ipr=91.195.124.6 айпи вашего хостера в BL, уже можно задуматься

Этот http://www.uceprotect.net/rblcheck.php?ipr=213.180.193.11 айпи тоже в черном списке?

Да. Пообщался с програмистом, обнаружили в какой-то папке список конфигов всех аккаунтов хостера.
Получается взломаны (или на стадии взлома) все сайты моего Leaderhost!!
Пипец полный.
Написал им об этом, пока не верят. Простя показать эти конфиги, а мы их уже снесли.
А я пока думаю как и куда сьезжать и как лечить сайты.
Сегодня лег сайт на втором акке (у меня их 3 на лидере).

очень часто встречаются хосты без разграничения прав, крупные хостеры последнее время перенастраивать начали, и переносить сайты по серверам с разграничениями, впрочем они всегда это делали, а мелкие "псевдо" хостеры так и сидят без настройки, и на нехватку квалифицированного персонала(который не ищут и его работу оплачивать соответственно не собираются) все сливают, когда сайты переносишь еще и обидеться пытаются, у некоторых контор ценник за шараду дороже впс-ки

меняйте хостера. вот к чему приводит безграмотность сисадминов.

Видал уже такое у одного. Бегите.