Как узнать - КАК попали файлы на сайт? - Безопасность сайтов на Joomla

Заливают с завидной периодичностью файлы в папки Joomla 2.5 -  includes и com_content + дописывают в index.php код подключения из этих файлов.

Как это возможно? index.php права стоят 644

Где посмотреть логи?

Заражаются кстати сразу все соседние сайты на хостинге. Возможно ли, что у одного дыра, позволяющая делать через ftp все эти загрузки на другие сайты?

   
Как узнать - КАК попали файлы на сайт?

заливают файлы, как и всегда через ftp или shell
а вот shell попадает через уязвимость(инъекцию), через кражу пароля от сайта или ftp

ftp менял пароли несколько раз
shell - где-то записывается этот момент когда заливается файл? КАК вычислить дырку?

Смотреть логи J и сервера. причем оч.внимательно, при этом думать и понимать, что там написано.

я подозреваю что в логах должен указан быть файл который залит. но ни в одном логе его названия нет.
что искать-то?

Гм. Может варезные расширения какие стоят? Шаблон например?

ну допустим есть варез. мне не поможет это наблюдение.
а если нет вареза, то начнем сначала - КАК вычислить ДЫРУ

Ну допустим все неприятности у вас из-за вареза и случились. . Я не из роскомпотребнадзора, мне без разницы, что у вас там на сайте. Просто в варезные расширения очень часто встраивают бэкдоры, шеллы, рекламу как минимум. Сносите всё левое, потом проводите диагностику с помощью, например, AIbolit-а.

т.е. в каком то файле расширения, может быть код, который произвольно создает у меня файлы на сайте?
и еще самостоятельно прописывает в index.php свой код?

т.е. в каком то файле расширения, может быть код, который произвольно создает у меня файлы на сайте?
и еще самостоятельно прописывает в index.php свой код?

Эврика :-)
Вообще прочтите недавно опубликованную статью про варезные расширения. Надеюсь она вам откроет глаза.

Запрети запись на все файлы и папки, кроме кеш.И понаблюдай.

он прописывает код на файлы с правами 644 и в папки с этими правами. это не вариант.
чтож попробую удалять постепенно ненужное

включите логи на срок как минимум 90 дней с ротацией и читайте внимательно логи, по другому дорога только на ТНТ в битву экстрасенсов

он прописывает код на файлы с правами 644 и в папки с этими правами. это не вариант.

И что значат права 644 ? если запрет на запись- 444 и 555 на папки