Вирус PHP.ShellExec - Безопасность сайтов на Joomla

Господа!

Недавно получили крайне неприятное сообщение от "Хостинг-Центр":

************************************************************************************************
Уважаемый клиент!

Информируем вас о том, что на сайте *** или одном из доменов,
прикрепленных к основному сайту, в ходе плановой проверки обнаружены следующие вирусы:

 - /www/***/www/htdocs/administrator/components/com_rsgallery2/rsgallery2.css.php => PHP.ShellExec
 - /www/***/www/htdocs/components/com_rsgallery2/rsgallery2.config.php => PHP.ShellExec
*************************************************************************************************
ХЦ, конечно, помогать не может.  У нас специалистов в организации нет.  Информации на форумах о данном вирусе нет.  Очень просим помощи!

1) Как мы можем оценить серьезность данной проблемы!
2) Как мы сможем почистить сайт?
3) Как мы сможем избежать похожих случаев в будущем!

Есть ли у кого-нибудь опыт с подобными проблемами?

Господа, будем очень признательны, если кто-нибудь ответит.....

Уважаемый swannee. То, что Вы сейчас и здесь сделали, это чистой воды сумасшествие. Я стёр имя Вашего домена, поскольку размещённой Вами информации более чем достаточно, чтобы от Вашего сайта не осталось вообще ничего. То, на что Вам дали ссылку, это не вирус, а шелл, который позволяет делать с сайтом всё, что угодно (без ограничений) любому человеку, имеющему доступ к шеллу. А вы сделали это "всё" доступным для любого посетителя форума.

1. Проблема более чем серьёзна. Причём Ваши попытки решать таким способом делают её гораздо серьёзнее.
2. Судя по Вашему пониманию проблем безопасности, Вам  самим лучше не делать вообще ничего, а нужно обратиться к специалисту (например к тому, кто сайт делал).
3. См. ответ 2. Для начала хотя бы удалите те файлы, на которые указывает хостер.

Сайт в данный момент не доступен, поэтому ответить даже приблизительно по сути Ваших вопросов (что делать и т.д.) невозможно, поскольку не предоставлен абсолютный минимум информации. Могу сказать только то, что RSGallery весьма дырявый компонент, сам имел с ним проблемы.

Уважаемый one_more!

Искренно благодарю Вас за комментарий - очень ценю ответ.  Если не ошибаюсь, имя домена не было указано в письме а вместе него было указано "yourdomain".  Но суть не в этом.  Вся проблема в том, что специалист не разработал сайт - мы сами его создали собственными силами.  Как всегда бывает в подобных ситуациях - пока все работает, мы гордимся своей самостоятельностью, но при возникновении первой проблемы, мы начинаем чувствовать себя полными дебилами.  Как Вам было сразу видно, у нас техническое знание СИЛЬНО ограничено и мы в этом признаемся.  Если проблема не решаема нашими силами, тогда Вы не смогли бы порекомендовать специалиста (юр ил физ лицо), который бы мог нам помогать? Таких компаний я не могу найти.

Еще раз, благодарю за Ваш совет.

Домен был указан здесь:

Информируем вас о том, что на сайте *** или одном из доменов,

Всё остальное вычисляется как 2х2.


1. Всё-таки удалите шелл (а лучше удалить вообще всё из директории /htdocs, сохранив шаблон, /images и дамп базы данных, после чего поднять движок "с нуля").
2. Смените ВСЕ пароли хоста и сайта (Ваш пароль и логин ftp, который, как правило, является одновременно паролем и логином к контрольной панели хоста, я сейчас вижу в configuration.php. И не я один его видел).
3. Обновите Joomla до последней версии этой линейки.
4. Удалите все нестандартные (не входящие в установку "по умолчанию") компоненты, модули и плагины, которые не используются (благодаря шеллу я вижу, что таких неиспользуемых сайтом расширений много, а дыра, позволившая залить шелл, с очень большой вероятностью именно где-то в них). Кроме RSGallery2 серьёзная уязвимость была в установленном у Вас CommunityBuilder, в com_acajoom... дальше не смотрел. Оставьте только то, что действительно остро необходимо. Если оставляете любые нестандартные компоненты/модули/плагины, обязательно и их тоже обновите до последней версии. А перед этим поищите в Гугле, были ли взломы через эти компоненты.

Кого-либо советовать в помощники я не буду, поскольку это нужно иметь время и большое желание разбираться, что и как на Вашем сайте сделано. Нередко проще бывает сделать всё то же  "с нуля", чем разбираться с уже сделанным кем-то.

Уважаемый one_more!

Естественно, Вы правы.  Большое Вам спасибо за то, что время и силы потратили на нашу проблему.  Немедленно займемся исправлением сайта.

С уважением,

swannee