Как то позвонил заказчик и говорит, какая то беда с Гуглом, не понятно куда отправляет, но только не на сайт. Редирект был на goooogle.osa.pl. Причем если вход по прямой ссылке - то все нормально, а через поисковик засада. Просидел весь день, перерыл практически все файлы Джумлы. Итак, как "излечил" CMS. Сначала обратил внимание, что все файлы index.php во всех папках тем изменены, строка выглядила так Думаю понятно, что эти выражения точно не для indexов, пришлось заменять файлы полностью из сохраненных бакапов. Дальше увидел \includes\post.php там любимая строка Были заражены cache.php, credits.php, defines.php, img.php, info.php (с этим вообще интересно - лежал в корне сайта его назначение мне понятно не до конца), o.php - не родной файл для Джумлы, post.php, z.php - тут такой огромный шифр, что расшифровать не взялся ни один онлайн сервис. Как я понял, вломились через уязвимость галлереи Ozio gallery. По совету удалил файл components/com_oziogallery2/imagin/scripts_ralcr/filesystem/writeToFile.php Рекомендую сравнивать файлы по содержимому, особенно те, которые загружаются в первую очередь такие как defines.php. Потому как открыв папочки я увидел, что файлы банально заменены и соответственно даты у них отличаются от основной массы, а вот именно defines.php из общей массы никак не выделялся, меня смутил его размер, открыл и увидел знакомую картину eval (base64_..... Поблагодарил Бога и сайт стал работать. ЗЫ если интересно, могу выставить файлы для обзора.
Теперь еще интереснее, похоже господа наловчились заражать все php файлы движка. Думаю уже автоматизировали процесс и используют какой то скрипт. Сначала весь сайт сканируют и анализируют все расширения, или ищут какие либо, в коих есть дырки и именно через них влезают. Еще раз обращаю внимание, что пароли ftp не шифруются и передаются в открытом виде, к тому же программы шпионы считывают сохраненные пароли в ftp программах. Поэтому рекомендую не хранить пароли, а вводить их заново каждый раз. Сегодня разведка донесла что редирект прописывают не только в файлах Джумлы, но и WP phpbb3 и др. Хотелось бы мне в глаза взглянуть этим товарищам, которые так хулиганят.
