Сайт взломан, не могу найти вредоносный код - Безопасность сайтов на Joomla

Добрый день, помогите пожалуйста, кто сталкивался - сайт взломали (в configuration прописаны имя БД, пользователя и пароль) и понаставили порно-ссылок в футер.
Joomla! 1.7.3 Stable
В phpMyAdmin нашла левых пользователей в таблице _users, удалила.
В футере все удалила перед </body>, оставила без скриптов чистый HTML, однако на сайте (в коде) отображаются ссылки.
Скорее всего в БД подцепляется код, но не могу понять в какой таблице его искать.
Спасибо.

во всех таблицах

во всех таблицах

Спасибо, знать бы еще, что искать)) Там такой код:

<div id=ln775><a href="http://ponatur.net/" target="_blank">читайте</a>  пустилась танцевать трах фото;<a href="http://ubzan.net" target="_blank">читайте тут</a>  интим фото пожелаю;<a href="http://www.stelmarket.ru/katalog/far/ventili_rz.htm" target="_blank">вентиль запорный</a>;Эротический массаж <a href="http://bagira-massaj.ru/" target="_blank">http://bagira-massaj.ru</a>. Эротический массаж без интима.;<a href="http://tulul.net/" target="_blank">здесь</a>  эро фото еще так<script type="text/javascript">
<!--
var _acic={dataProvider:10};(function(){var e=document.createElement("script");e.type="text/javascript";e.async=true;e.src="//www2.acint.net/aci.js";var t=document.getElementsByTagName("script")[0];t.parentNode.insertBefore(e,t)})()
//-->
</script> Магазин детских товаров <a href="http://wland.com.ua/catalog/baby-strollers/" target="_blank">детские коляски</a>, кроватки и другие товары для детей. .  <a href="http://www.wcax.com/story/27428492/the-language-of-desire-review-control-your-man-make-him-yours-pdf-ebook-secret-revealed" target="_blank">full story here</a> .  <a href="http://www.wfla.com/story/27736079/obsession-phrases-a-revolutionary-program-that-helps-women-in-the-love-department" target="_blank">obsession phrases</a> </div><script type='text/javascript'>document.getElementById('ln775').style.display='none';</script>

я по ID искала, какую-то таблицу удалила - не помогло

Попробуйте перезаписать базу данных из сохраненного бекапа( проверив его сначала дома на денвере), если он конечно есть.

Обновиться до хотя бы Joomla 2.5
Найти подключение яваскрипта и удалить Начни с самого простого- index.php в корне сайта

@Larisa
Обновляйте сайт до актуальной версии 3.*.*
Кроме ссылок вам надо всю заразу найти и дырочки залатать.

Joomla! 1.7.3 Stable

Да ну?
Вывесить табличку "взломайте меня медленно" было бы менее эффективно ))

ЗЫ. Какие люди )

Обновиться до хотя бы Joomla 2.5
Найти подключение яваскрипта и удалить

Код

<script type='text/javascript'>document.getElementById('ln775').style.display='none';</script>

Начни с самого простого- index.php в корне сайта

не нашла там..

Larisa, не факт вообще, что данный код прописан в таблице.

1) Смотреть, не установлены ли левые расширения, которых раньше не было. Это сейчас модно.
2) Качать на компьютер полный бэкап и прогонять скриптами на предмет поиска шеллов и  бэкдоров. Удалять найденное. Я пользуюсь скриптом айболит - очень мощная вещь.
3) Обновлять все расширения до актуальных версий.
4) Ставить защиту от дальнейших взломов.

Но, на фоне версии движка, данные рекомендации звучат немного наивно. Хотя и сейчас есть сайты, работающие на 1.5 - но там явно приложили руку профи.

не нашла там..

И не найдете наверное. Если они получили доступ к файлам, то, с большей долей вероятности можно утверждать, что этот скрипт закодирован. Конечно, вычислить его можно в любом случае, начав поиск с переменной, содержимое которой выводится в конкретном месте документа. Но попробуйте сделать поиск строки base64, чаще всего все зловреды именно там сидят. Ну и совет от Taatshi. Главное - подумайте о миграции сайта на Joomla 3.3 (последнюю версию я бы не рекомендовал из за некоторых сложностей с ней).

...Но попробуйте сделать поиск строки base64, чаще всего все зловреды именно там сидят. ...

Спасибо за совет, но знать бы еще как это делать)

Спасибо за совет, но знать бы еще как это делать)

Простой пример: берете Notepad++, открываете и делаете поиск в файлах строки base64, в качестве директории указываете путь к папке сайта.

Но попробуйте сделать поиск строки base64, чаще всего все зловреды именно там сидят.

Эта сигнатура давно уже перекриптовывается при использование. редко встречается ее использование в открытом ввиде, в шелах

Эта сигнатура давно уже перекриптовывается при использование. редко встречается ее использование в открытом ввиде, в шелах

Я и написал: "чаще всего"... И в подавляющем большинстве случаев именно в таком простом виде и располагают свои скрипты...

"чаще всего"... И в подавляющем большинстве случаев именно в таком простом виде и располагают свои скрипты...

В таком виде работают дилетанты...

В таком виде работают дилетанты...

Уж кому, как не вам, знать, что таких большинство )) Но давайте не будем оффтопить... Человек задал вопрос, я ответил. Если мой совет не поможет - это ваш будущий клиент )