Новый вирус для рассылки спама (virustotal такого не знает) - Безопасность сайтов на Joomla

У меня похожее было. Удалил. Сменил пароли. Больше не появлялось.

что он делает в этом скрипте?

Декларирует класс PlgSystemJoomla, а потом создаёт экземпляр класса. Какие будут последствия, по этому кусочку кода наверняка сказать невозможно - нужно видеть, что передаётся скрипту в куках. Очевидно лишь то, что через куки серверу передаётся исполняемый код и данные для его выполнения.

Интересно, через что это все пролезло?

о! такая же история как у меня! удалось понять как пролез?
обнаружил что обновился компонент eXtplorer с пометкой security update.

экстрасенсы все на нг уехали
надо знать что у вас установлено и что было до может быть он у вас уже год-два сидит, вы просто справится не можете вот вам и интересно через что, а дыр масса было и если не закрывали то через любую на вашем сайте

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

zmey78 так вы поняли откуда этот файл '.joomla.system.php' появился?
если нет, то он может появиться еще раз. дырка то вероятно осталась.
поэтому если вы еще тут будете - выше я оставил список расширений которые использую - посмотрите есть ли у нас те же самые?
я пока нашел только одну уязвимость, но уверенности что проблема имеено в этом нет.

вы уверены что не иcпользуете сторонние расширения - компонеты, модули, плагины?
по вашим словам можно понять что взломали ЧИСТУЮ Joomla 1.5.26 ??

Но если вы говорите что у вас ЧИСТАЯ Joomla 1.5.26 с официального сайта... ??

у меня Yandex заблокирован через robots.txt так что нет смысла проверять (я честно говоря даже не совсем понял зачем это? ведь вирус рассылает спам почту через почтовик сервера, а не добавляет спам линки на мои странички итп)

сайт вроде вычистил, но уверенности в том что его взломали именно через com_extlplorer нету.

php_value mail.add_x_header 1 

php_value mail.log  /DocumentRoot/mail.log

я что-то никогда не слышал о существовании ОФИЦИАЛЬНОЙ Joomla в комплекте с VirtueMart
вы наверное скачали сборку с какого-то сайта который не http://www.joomla.org/ ?

"Встроенные отключил: JCE, extplorer, moneybookers"
это не встроенные. это тоже сторонние компоненты.

я выше писал - обнаружил что обновился компонент eXtplorer с пометкой security update.
до 2.1.5 (у меня стояла версия 2.1.3).
там довольно серьезная уязвимость была.
у вас какая версия стоит? возможно проблема в этом тк их того что вы перечислили у меня только Xmap.

Сразу советовал клиенту удалить com_extlplorer. Но может совпадение, но после удаления com_extlplorer , шелл нет.

А если просто отключить (там же, где удаление, есть колонка с зеленой галкой или красным крестом, через нее можно выключить-включить). Так можно?

#Запрет на прямой доступ к файлам php
<Files "*.php">
  deny from all
</Files>

Я уже справился и в ваших услугах не нуждаюсь (после такого дешевого наезда - тем более).