Взломали сайт - чужие ссылки в подвале сайта - Безопасность сайтов на Joomla

Сегодня обнаружил взломанный сайт, в подвале сайта были ссылки написаны в диве размером 10px.

Может кому пригодится, нашел внедрение в фаиле /includes/application.php в 271 сроке
 

так же появились файлы в директориях:
/modules/mod_banners/     появились php файлы но расширение jpg стоит на них (base, data, header,highlight,icon,login,symbol,tools)   при открытии редактором в них находится код.

/modules/mod_footer/tmpl   фаил class_calendar.php   тоже с вирусом

фаил появился в корне (забыл как называется, какой-то инклудс пхп)

и один фаил появился в директории /media/editors/tinymce/jscripts/tiny_mce/themes/advanced/skins/default/img
фаил назывался img.php

дата создания всех файлов 19 января 15 года

Версия Joomla, количество сайтов на аккаунте хостинга?

Версия 2.5.9.  сайтов на хосте около 20 где-то.
Были на хосте проблемы с рассылкой спама (тоже были созданы вирусные файлы, сайты находились в одном аккаунте, потом вылечил, разнес по разным аккаунтам),
Пострадали сайты старой версии Joomla, причем одной и той же версии (это не мои проекты были, другой человек все эти сайты заливал), взор упал что на почти всех сайтах был странный плагин фотогалереи, который превью сам собирает в кеш (файлы фото просто загружались в папку на FTP, видимо для более простого управления сайтом)

Разносите сайты по разным пользователям или аккаунтам хостинга или не избавитесь. Не вылечили.

Основная причина заражения - это вирус на ПК, который украл ftp пароль.

Разносите сайты по разным пользователям или аккаунтам хостинга или не избавитесь

Хорошее замечание. Именно так и нужно делать - изоляция юзеров.

сайтов на хосте около 20 где-то.

Все разнести. Не долечили просто. Да и обновить давно пора. Вряд ли вирус на ПК, но проверить не помешало бы.

дата создания всех файлов 19 января 15 года

посмотрите логи веб сервера за 19.01.2015. если там ничего нет, то залили по ftp. есть другие варианты?

Пострадали сайты старой версии Joomla

даже устаревший движок редко ломают. мне так кажется (надо нарваться на уж очень скрупулезного бота).

даже устаревший движок редко ломают. мне так кажется (надо нарваться на уж очень скрупулезного бота).

Боты сейчас с высшим образованием  , уж поверьте, а FTP с ПК уже давно (с 2009-2010) не крадут, зачем время тратить когда стоит "псу" команду дать в виде домена, а он сам всю работу сделает.

а FTP с ПК уже давно (с 2009-2010) не крадут

Еще как крадут. Никогда не видели с MS Security Essentials (легальная Windows 7 Ultimate) - уровень оповещения "критический", а действие "разрешено"? Я как раз в это время покупал жд билет. Для меня это закончилось, к счастью, блокировкой банковской карты. До меня только потом дошло задуматься.

Не кажется ли Вам что FTP и платежный фишинг, немного разные вещи.

В скрупулезности ботов можно быть уверенным. Было до 300 логов в минуту на очень большое количество расширений. Бот не устает.

Не кажется ли Вам что FTP и платежный фишинг, немного разные вещи.

как раз в это время и сайт был заражен, именно по ftp.

вот еще интересная история. стоит почитать
http://ktonanovenkogo.ru/web-obzory/kak-proverit-sajt-na-virusy-proverka-onlajn-zarazheniya.html