Скрытые ссылки. Как найти? - Безопасность сайтов на Joomla

Ну вот, за два года на 2.5 ни одного взлома, а уже через меся после перехода на Joomla 3.5 взломали.

Заблокировал сначала Google. Сказали что на страницах:
http://vvm-auto.ru/shop/1042-006-em2271
http://vvm-auto.ru/pomoshch-v-vybore-avto
генерируется ссылка:
http://vk.cc/5bZbWP
при нажатии на нее в новом окне открывается вот это:

function addEvent(element, eventName, fn) {
  if (element.addEventListener)
      element.addEventListener(eventName, fn, false);
  else if (element.attachEvent)
      element.attachEvent('on' + eventName, fn);
};

Я скрытых ссылок не вижу.
Шаблон на сайте стандартный: протостар.
Когда-то пробовал подключить интернет магазин (Хика шоп), но в тот же вечер снес все к чертям. Менеджер расширений почистил.

Яндекс выдает вот это:
Дата последней проверки 24.05.2016
Страница 588-mercedes-c-class-w204
Вердикт Troj/JSRedir-RS

Проверил сайт, да действительно, при переходе из поисковика перекидывал на vesna-sberbank.ru (просили наивных ввести данные карты для перевода им ден средств).

Снес сайт и залил то, что существовало до проблемы.

А сейчас проблема вернулась. Снова скрытые ссылки на двух страницах (со слов Google). Я их увидеть в коде страницы не могу (извините не профессионал).

Да, на главной установлен модуль ju news ultra, но он был и на 2.5 почти год и никаких проблем.

Прошу помочь знающих. Куда копать и что делать?

Скриптом ai-bolit пройтись. Думаю найдет.

Скорей всего вы о проблеме и не знали, пока вам не сообщили. Взломать вас могли и год и два назад. А как "носом ткнули" так вы и узнали про взлом.

Скорей всего вы о проблеме и не знали, пока вам не сообщили. Взломать вас могли и год и два назад. А как "носом ткнули" так вы и узнали про взлом.

Все возможные пароли меняю раз в месяц. Сайт активно крутится в рекламе Google и Яндекс, поэтому постоянно проверяется. До 23.05 никогда не было никаких проблем. А теперь вот сижу репу чешу...

Сложно сказать что-то.
Я пишу компонент, заодно протестирую, дайте мне архив без БД.Просто папки.
решитесь-выложите архив на обменник, в личку ссылку.

Нашел выше директории сайта в служебных файлах сервера левый .htaccess следующего содержания:


Хостер говорит, что они не виноваты, это моя вина.
Ищу дальше. Редиректы с мобильных устройств продолжаются.

А вот то, что нарыл Айболит:

А так?

А так?
https://yadi.sk/*************

так норм, но могли бы и в ЛС дальше
прочекаю-напишу в теме.
меня больше интересует не  ваше "самочувствие" сайта , а алгоритм моего компонента))) Сорри за прямоту.
но в любом случае-укажу вам лапшой ваши сссылки, врезанные ***коды.

// И советую вам удалить ссылку в теме, т.к. там все доступы в конфиге ваши.

Почитал ваш ЛС и был удивлён, открыв ваш архив с пустым содержанием.
если вам скучно, советую проверять то, что вы отправляете.
И архивы называть латинскими символами.

Заказал у хостера новый виртуальный диск, поставил непорочную Joomla с локалки. Сайт поработал два дня и сегодня снова был парализован редиректом.
Куда смотреть, куда бежать, что делать?

поставил непорочную Joomla с локалки.

))) развратили вашу Joomla )))
Ну наверно или комп у вас хватает что-то и переносит, или хост заражён.
Joomla "непорочная" сама по себе)))
Надеюсь Joomla с офф сайта?!

Да, скачана с официального сайта. Из компонентов только Jcomments и QuikcForm.

Да, скачана с официального сайта. Из компонентов только Jcomments и QuikcForm.

А шаблон какой? и компоненты с офф сайтов?
Если всё офф, то проблема в хосте.

Да все с оф сайтов. Шаблон протостар.

Может через QuikcForm заносят что-то.
Формы - это самое слабое место в безопасности сайта.

Обратился за платной помощью. Предоставят результат - обязательно отпишусь.

а дайте архив сайта, я прогоню у себя, потестю свой поиск, заодно вам скажу что врезано.
БД не нужно, только архив папок и файлов, можете в личку ссылкой.

а дайте архив сайта, я прогоню у себя, потестю свой поиск, заодно вам скажу что врезано.
БД не нужно, только архив папок и файлов, можете в личку ссылкой.

Вы меня сейчас опять обвините в том, что я "страдаю хренью"  и присылаю пустые архивы.

так а вы не присылайте пустые архивы: скачайте и выложите, архив назовите латинскими символами.
Или прямо на хосте запакуйте в архив и дайте прямую ссылку в личку.

Если на хосте не один сайт, то через соседние можно заражать все.

Обратился за помощью к Ревизиум.

Обнаружены и удалены хакерские скрипты и вставки вредоносного кода в следующих файлах:
 ./media/jui/jui.php
 ./media/plg_quickicon_joomlaupdate/plg_quickicon_joomlaupdate.php
 ./templates/script.js.php
 ./index.php
 ./libraries/joomla/log/wm-log.php
 ./components/com_mailto/wm-log.php

Как они туда попали, не уточняют.

Обратился за помощью к Ревизиум.

Обнаружены и удалены хакерские скрипты и вставки вредоносного кода в следующих файлах:
 ./media/jui/jui.php
 ./media/plg_quickicon_joomlaupdate/plg_quickicon_joomlaupdate.php
 ./templates/script.js.php
 ./index.php
 ./libraries/joomla/log/wm-log.php
 ./components/com_mailto/wm-log.php

Как они туда попали, не уточняют.

Даже самый опытный специалист, с трудностью сможет найти момент проникновение, а если даже найдет или знает, не скажет вам, дабы не дать дураку козырь в рукав и не предать огласки, это не простой бизнес...

P.S: Заказывайте пентест 70-100к.руб, вам скажут, как к вам попали вредоносы...

Даже самый опытный специалист, с трудностью сможет найти момент проникновение, а если даже найдет или знает, не скажет вам, дабы не дать дураку козырь в рукав и не предать огласки, это не простой бизнес...

Да, ладно?
Я говорю всегда бонусом к лечению.
Другое дело что обычно несколько возможных вариантов, да и логов нет (или лень все просматривать), поэтому ответ лишь с вероятностной точностью.

Да, ладно?
Я говорю всегда бонусом к лечению.
Другое дело что обычно несколько возможных вариантов, да и логов нет (или лень все просматривать), поэтому ответ лишь с вероятностной точностью.

Да ладно?, ну тогда вы гуру своего дело, снимаю шляпу перед вами....

Да ладно?, ну тогда вы гуру своего дело, снимаю шляпу перед вами....

Разве так много вариантов?
Если конечно речь не о сайте со 100500 компонентов

Вариант может быть и один, но он не входит в оглашение владельцу, обычно на такие вопросы ответ или размазанный или вообще не дается. Заказчику вообще не обязательно что то знать. Выполнена работа и все.

Разве так много вариантов?
Если конечно речь не о сайте со 100500 компонентов

Все на самом деле, дело случая, проблемой взлома может являться и не сам сайт, а вы будите искать на сайте? это слишком широкая тема для обсуждения, предлагаю закрыть вопрос....

Исполнитель без лишних подробностей сообщил, что мой случай не целенаправленный взлом, а заражение через уязвимости. Во всяком случае, уже второй день все работает без замечаний.

Это вы, а я видел, как люди жаловались - обратились к такой фирме, чтобы им сайт почистили, а те их доить начали.
Два вируса нашли и почистили, а остальное не тронули (или не заметили?).
Потому что потом еще что-то вылезло - опять обратились и заплатили, после третьего раза послушались моего совета, послали эту фирмочку, собрали сайт заново, сменили все доступы и хостера - вроде помогло.

Я конечно же надеюсь, что Ваши слова не окажутся пророчеством. Однако, спустя неделю после чистки сайта "вылез" новый редирект. А перекидывает он только с Google (поиска и рекламы) сюда
http://chrome.google.com.flash-player.win/browser/desktop/flash.update.php?siteurl=vvm-auto.ru
Завтра буду снова писать Ревизиум. Все-таки обещали гарантию 6 месяцев.

Я конечно же надеюсь, что Ваши слова не окажутся пророчеством. Однако, спустя неделю после чистки сайта "вылез" новый редирект. А перекидывает он только с Google (поиска и рекламы) сюда
http://chrome.google.com.flash-player.win/browser/desktop/flash.update.php?siteurl=vvm-auto.ru
Завтра буду снова писать Ревизиум. Все-таки обещали гарантию 6 месяцев.

Ревизиум достойная компания и отвечает за качество, а если даже и был промах с ихней стороны... так скажите у кого его не было?