В файле index.php постоянно появляется вредоносный код - Безопасность сайтов на Joomla

Joomla 3. В файле index.php постоянно появляется вредоносный код! CMS обновлена, компоненты почти все, тоже. Пароли от всего, менял неоднократно! Исправляю файл, не проходит и пару часов, как врезка снова появляется! Ни одна из систем, вирусов не обнаружила! Хостер помогать не хочет, объясняя наличием дырки в каком то компоненте!
Подскажите, где копать?

Ну как и сказал хостер в каком то компоненте

ftp + немного USD - и с завтрашнего дня живете спокойно !)
skype : agroparknew

Ну как и сказал хостер в каком то компоненте

) Хорошее чувство юмора 

Если дырка известна - то удалить компонент

Ну а как без юмора то?
Если никакой информации.
Хоть бы пример левого кода.
А дыра может быть где угодно

Надо лечить проблему, а не последствия) смотрите по логам, через что модифицируется index.php

смотрите по логам, через что модифицируется index.php

С Уважением - а подскажите мне - как на серве - найти лог такой ?  Вот я не знал !
Просто даже если подумать так что так действительно можно посмотреть то - почему сапорт хостинга так не сделал ? А ?

Ни одна из систем, вирусов не обнаружила! Хостер помогать не хочет, объясняя наличием дырки в каком то компоненте!

Менять хостера, систему .

Менять хостера, систему .

!! Да - В первую очередь это для него деньги! - И ему ни как слепому котенку тыкаться во все углы !
Но то такие хостера - что быстрей в Спорт Лото - подскажут -- чем они ответят ! )))

Наймите того. кто умеет. Самому без определенного уровня знаний никак. И учтите, что, если на аккаунте больше одного сайта - лечить нужно все сразу.

И хостер Вам, кстати, бесплатно помогать не обязан. Потому что  защита сайтов от вирусов - Ваша обязанность.

С Уважением - а подскажите мне - как на серве - найти лог такой ?  Вот я не знал !
Просто даже если подумать так что так действительно можно посмотреть то - почему сапорт хостинга так не сделал ? А ?

В идеале пишется свой логгер, на худой конец открывается access_log и смотрится по времени изменения файла, какие были на тот момент запросы. Если бэкдор отдельным файлом, то его легко найти будет, а если прописан в роутинг Joomla, то без специальных антивирусов сложно будет найти - но и места в принципе обычно одинаковые, сначала шаблон, потом стандартные компоненты, плагины, реже либы. Но второй вариант не всегда будет работать, если вирус к примеру модифицирует время модификации файла.

Потому что  защита сайтов от вирусов - Ваша обязанность.

По нормальному - то на хостинге должен быть как минимум свой антивирус ! А то так можно сказать что и ISP Manager - Это тоже Ваша обязанность ! - Мы вам железо дали и все - Это да только если серв выделенный - То я согласен а если колхоз - то что тяжелого прикрутить сканер -0 что бы мозги не клепали клиенты !

В идеале пишется свой логгер

- нормально ? - у человечка  файлы сами правятся - а Вы логгер ?   
Короче - тупо поставьте права на index.php - только чтение - если конечно больше вас не чего не беспокоит и нанимать ни кого не желаете (не  можете) та и все ! Только в начале затрите то что вам дописали ! - Да и живите спокойно пока не научитесь сами лечить - или  будет возможность то вам полечат ! 
А то Вам на советуют - Логгеры - Демоны  ect. )))
Хотя конечно это неправильно - но не смертельно !

В идеале пишется свой логгер

Это интересно. На php?
Или средствами ОС, или ещё как-то?

Или средствами ОС, или ещё как-то?

в Фантазиях !)

Если совсем не разбираетесь, закажите очистку. А так можете воспользоваться встроенными средствами хостингов + старый айболит + антивирусы и к примеру https://extensions.joomla.org/extension/securitycheck/ . Там встроенная база данных уязвимостей.

Если совсем не разбираетесь, закажите очистку. А так можете воспользоваться встроенными средствами хостингов + старый айболит + антивирусы и к примеру https://extensions.joomla.org/extension/securitycheck/ . Там встроенная база данных уязвимостей.

А шелл ему кто выпиливать будет? Там небось не в компоненте дело, а как водится в таких случаях - в полном фарше вареза. Смотреть нужно. Я предлагаю хостинг с антивирусом, встроен ImunifyAV, но надо понимать, что от любого антивируса толку как от козла молока. Хотя иногда находит...

Для ТС - вы совсем не соображаете в том, как устроен автомобиль, и вот он сломался. Ваши действия? Спросите у знакомых - че там? Знакомые пожмут плечами - надо на диагностику... Обложитесь самоучителями и справочниками и будете самостоятельно искать проблему? Да, иногда это прокатывает. Но гораздо проще и быстрее отогнать авто в сервис. Здесь примерно так же. Если овчинка стоит выделки - закажите лечение, примерно 2-3к цена вопроса. Если нет, поставьте права 444 на index.php и забейте...

Если нет, поставьте права 444 на index.php и забейте...

Ставил, бесполезно!
Айболит на хостинге есть, не находит ничего!

Ставил, бесполезно!
Айболит на хостинге есть, не находит ничего!

Ну значит бесполезно. Если у вас где то скрипт имеет права на запись, что мешает ему CHMOD поменять на 644, записать, и потом поменять обратно? На Айболит не надейтесь, он давно протух. Нужно искать во первых залитые шеллы, во вторых смотреть, почему они у вас появились.

Это интересно. На php?
Или средствами ОС, или ещё как-то?

Можно на PHP, можно те же логи апача настроить на свой лад.
На PHP экспортируются необходимые глобальные переменные в файл, а сам PHP файл добавляется в  auto_prepend_file

можно те же логи апача настроить на свой лад.

там не вариант - так как скорее всего хостинг виртуальный - и хостер с этим уж 100% не поможет !

На PHP экспортируются необходимые глобальные переменные в файл

Простите а можно вопрос - например какие глобальные переменные ?

экспортируются

- От куда экспортируются ?

Можно на PHP, можно те же логи апача настроить на свой лад.
На PHP экспортируются необходимые глобальные переменные в файл, а сам PHP файл добавляется в  auto_prepend_file

В рамках виртуального хостинга - реалистично?
Если да - какова цена вопроса?

там не вариант - так как скорее всего хостинг виртуальный - и хостер с этим уж 100% не поможет !Простите а можно вопрос - например какие глобальные переменные ? - От куда экспортируются ?

1) ну так я отвечал на другой вопрос, тс боюсь без помощи специалистов не справится, что тут не советуй.
2)
https://www.php.net/manual/ru/language.variables.superglobals.php

В рамках виртуального хостинга - реалистично?
Если да - какова цена вопроса?

Да, вполне реально, но места будет требовать дофига, встречный вопрос, а зачем нужно?

Суперглобальными переменными являются:

Мое Почтение ProtectYourSite ! Хорошего Дня ! -
- Если не сложно ответьте пожалуйста какая переменная из этого списка сможет помочь определить когда и какой файл изменялся? )

Если кому интересно то вот так выглядит файл с вирусом
Можете закачать к себе на сервер - и проверить !))) - ШУТКА 

встречный вопрос, а зачем нужно?

Чтобы смотреть по логам, через что модифицирован тот или иной файл )
Прямо сейчас, к счастью, такой потребности у меня нет. Но интересуюсь для понимания, возможно, на перспективу.

Чтобы смотреть по логам, через что модифицирован тот или иной файл )

Мое мнение - это возможно но только на выделенном сервере - тогда сама система может логировать любое изменение в файловой системе - скажем в том радиусе где вам это интересно!
а средствами сервера - это делать ( через PHP - Apache HTTP  ) - тогда это уже не web сервер - )))
Средствами PHP - можно сравнить размер, содержимое, хеш - файла - но как вы себе можете это представить что бы сервер следил за состоянием файловой системы ?
Тут конечно много Умных и Интересных людей - 

Мое Почтение ProtectYourSite ! Хорошего Дня ! -
- Если не сложно ответьте пожалуйста какая переменная из этого списка сможет помочь определить когда и какой файл изменялся? )

Если кому интересно то вот так выглядит файл с вирусом
Можете закачать к себе на сервер - и проверить !))) - ШУТКА 

А кто сказал, что логгер определит, когда и какой файл изменялся?
Вопрос был в нахождении шелла, по тем же логам апача наверняка должно было промелькнуть обращение к gherkin-info.php
Далее, если бы мы залогировали данные с $_COOKIES, то там наверняка нашли бы исполняемый код, расшифровав который, можно понять, какие файлы изменялись или какие манипуляции проводились на сервере.

Чтобы смотреть по логам, через что модифицирован тот или иной файл )
Прямо сейчас, к счастью, такой потребности у меня нет. Но интересуюсь для понимания, возможно, на перспективу.

Немного не так поняли суть логгера, он не показывает чем модифицирован тот или иной файл, на виртуальном хостинге такого врядли можно будет достигнуть, так как файлы могут изменяться не только через php интерпретатор, а через другие приложения системы, и это перехватить никак не удастся в рамках PHP.
Как вариант, могу предложить простую библиотеку отслеживания измененных файлов. Её суть проста, добавить в крон и с каждым обходом она смотрит, какие файлы поменялись и если необходимо сигнализирует на почту.

Далее, если бы мы залогировали данные с $_COOKIES, то там наверняка нашли бы исполняемый код,

Да .... Очень интересно )) - Правда !
В обще хочу сказать - что точного описания процедуры лечения - точно не у кого нет. Сколько людей столько и мнений !
А в обще - если честно не столько опасны сами вирусы как Варез - и криворукие программеры.
Что самое интересное - ну заходят там на сайт 300 чел в день в лучшем случае - и тут "ОЙ Меня взломали - я весь в вирусах" - вот ответьте мне - кому Вы нужны !
За то вареза на сайте больше чем контента ...
Есть одно такое выражение -

Не хочешь кормить свою армию - Будешь кормить чужую!
Или так
Не хочешь платить за расширения - Будешь платить за защиту и лечение!

Так что пусть думают - когда ставят что то такое что стоит 60 USD - а тут вот оно валяется даром ! ))
Еще кошмарит когда в коде видишь как из $_POST - сразу в DB кидают ! - Вот за такое - я бы руки оторвал   
Чудес не бывает !