Вирус на Joomla - скрипт: eval (unescape.. - Безопасность сайтов на Joomla

Поймал на одном из своих сайтов вирус. На всех страницах сайта, в т.ч. и в админке при просмотре исходного кода появилась такая хрень:

Перелопатив весь сайт, не нашел ни одного измененного индексного файла. Обновил Joomla до 1.5.14 - ничего не изменилось. Написал хостеру - нашли две картинки в кешах по запросу eval (unescape Эти картинки удалил, сайт полностью себе скачал... Больше суток уже сижу - пытаюсь найти, в какой файл скрипт засунули.
Если у кого есть мысли или опыт по убийству этой гадины - буду благодарен за помощь.

мысль одна - пользовать поиск по сайту!
три миллиарда восемьсот миллионов четыреста восемьдесят тысяч сто сорокдва раза обсуждалось

Я это понял и поиск по форуму и по Google не первый час уже юзаю... - вторые сутки.

Поиск по всем файлам: eval (unescape не дает результата, а у меня там еще куча поддоменов и я более чем по 5ГБ дистрибутивов ищу. (Скачал полный бекап файлов всех сайтов)

Запрос "вирус", как Вы во многих темах (просмотренных мной сегодня) - я в строку поиска вводил сегодня не один раз.

Я обратился за помощью по конкретному вопросу - какие вариации кода могут быть у данного вируса. То есть что мне в строке поиска Dreamveaver а не форума вбивать.

И еще добавлю, что у меня там больше двадцати сайтов на поддоменах (почти все - Joomla) и остальные вроде не заражены...

...у меня там больше двадцати сайтов на поддоменах (почти все - Joomla)...

вот это ты втух...

вот это ты втух...

Вот и я о том-же...

Все администраторы делятся на два вида:
1) тех, которые не делают бэкапа, и
2) тех, которые уже делают (с)

От поиска дырки это не избавит, но объём работы уменьшит радикально.

в какой файл скрипт засунули.

Сразу и в файл? А в БД смотрели? Где этот div рисуется?

То есть что мне в строке поиска Dreamveaver а не форума вбивать.

Эммм....... Каждый файл вручную проверять?
Берем тотал командер, натравливаем его на папку со всеми доменами и поддоменами, задаем "искать с текстом", указываем кусок кода и идем курить....
Также немного локализовать проблему можно, если на сервере провести поиск последних измененных файлов.
Точно также шерстим БД всех сайтов, которые на подозрении, поскольку вредитель может спокойно сидеть и в базе.

Эммм....... Каждый файл вручную проверять?

Dreamweaver позволяет искать подстроку по всем файлам во всех директорях сайта, причём с использованием регулярных выражений.

Берем тотал командер, натравливаем его на папку со всеми доменами и поддоменами, задаем "искать с текстом", указываем кусок кода и идем курить....
Также немного локализовать проблему можно, если на сервере провести поиск последних измененных файлов.

Есть одно "но". Пострадавший утверждает, что обновил движок. Если там была "минимальная" установка (без сторонних ботов, модулей и компонентов) и движок перезалит полностью, тогда искать нужно в первую очередь именно в БД, а не в файлах сайта.