Как удалить вредоносный скрипт рассылки с сайта?

Уже несколько дней хостер блокирует сайт: "Аккаунт заблокирован. Причина - нарушение правил хостинга (нагрузка на сервер)." При этом в последние 2-3 дня нагрузка с одного сайта с посещаемостью около 800 человек в сутки (не в час, не в минуту, а в сутки) - 90-99%. Дело в том, что в определенное время (с 22-00 до 24-00) с нашего сайта идет атака на какие-то другие сайты (к примеру, банк Америки и т.д.). Проверяли на безопасность сервисом Яндекс - ничего не нашло. Посоветуйте какие-то способы лечения. Заранее огромное спасибо!
Процитирую часть сообщения от хостера:
"PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
24429 devchata 20 0 112m 30m 6764 R 99.3 0.1 0:58.54 php-cgi
30248 devchata 20 0 112m 30m 6544 R 99.0 0.1 0:29.08 php-cgi
lsof -p 30248 | more
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
php-cgi 30248 devchata cwd DIR 8,18 4096 51259037 /home/devchata/.system/fcgi
php-cgi 30248 devchata rtd DIR 8,7 4096 2 /
php-cgi 30248 devchata txt REG 8,3 29227554 9278082 /usr/local/php/5.3/bin/php-cgi
php-cgi 30248 devchata mem REG 8,7 10096 950421 /lib64/libcom_err.so.2.1
php-cgi 30248 devchata mem REG 8,3 190976 1836113 /usr/lib64/libgssapi_krb5.so.2
.2...."
адрес сайта - http://devchata.in.ua/

 

Этим сканером я проверяла, результаты:

File: /home/devchata/domains/devchata.in.ua/public_html/components/com_mailto/controller.php
String:: $_POST[

File: /home/devchata/domains/devchata.in.ua/public_html/components/com_jcomments/jcomments.ajax.php
String:: $_POST[

File: /home/devchata/domains/devchata.in.ua/public_html/components/com_jcomments/tpl/default/tpl_comment.php
String:: confirm(

File: /home/devchata/domains/devchata.in.ua/public_html/components/com_users/controllers/reset.php
String:: confirm(

File: /home/devchata/domains/devchata.in.ua/public_html/libraries/joomla/environment/request.php
String:: $_POST[

File: /home/devchata/domains/devchata.in.ua/public_html/libraries/joomla/html/toolbar/button/confirm.php
String:: confirm(

File: /home/devchata/domains/devchata.in.ua/public_html/modules/mod_s5_quick_contact/mod_s5_quick_contact.php
String:: $_POST[

File: /home/devchata/domains/devchata.in.ua/public_html/cache/page/ff3ef394081274b0703da2a64fd584ca-cache-page-81a4373b7108c46a6f4231f8b14f3a17.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/page/ff3ef394081274b0703da2a64fd584ca-cache-page-671bf7da0585afb49f9e8c63f052b17b.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/page/ff3ef394081274b0703da2a64fd584ca-cache-page-017c9a50c46d9d3d7a5588fc66b0d549.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/page/ff3ef394081274b0703da2a64fd584ca-cache-page-e6ac35398995f368e8942eab501369b9.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/page/ff3ef394081274b0703da2a64fd584ca-cache-page-0d4155c7b5bf805daca13b26636b8a27.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/page/ff3ef394081274b0703da2a64fd584ca-cache-page-05cdb6f13ee00603b0a5ccdb2c593bb7.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/page/ff3ef394081274b0703da2a64fd584ca-cache-page-69dfee8b3f54d6114daa6c1a066a6a31.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/com_content/ff3ef394081274b0703da2a64fd584ca-cache-com_content-4d7f5bc9f4c7c6c5949ac3d38d071e2b.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/com_content/ff3ef394081274b0703da2a64fd584ca-cache-com_content-9508bcbc0f125d909b88e68ba24a44a6.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/com_content/ff3ef394081274b0703da2a64fd584ca-cache-com_content-0ed3d249ff68eb591e327393957cebe6.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/com_content/ff3ef394081274b0703da2a64fd584ca-cache-com_content-549230c4230f5bb0188d2e38449b8735.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/cache/com_content/ff3ef394081274b0703da2a64fd584ca-cache-com_content-8d35213e2cfb91f402e97c78c3f0b897.php
String:: c99

File: /home/devchata/domains/devchata.in.ua/public_html/administrator/templates/hathor/html/com_users/groups/default.php
String:: confirm(

File: /home/devchata/domains/devchata.in.ua/public_html/administrator/templates/hathor/html/com_menus/menus/default.php
String:: confirm(

File: /home/devchata/domains/devchata.in.ua/public_html/administrator/templates/bluestork/confgic.php
String:: $_POST[

File: /home/devchata/domains/devchata.in.ua/public_html/administrator/components/com_swmenufree/ImageManager/Classes/ImageManager.php
String:: $_POST[

File: /home/devchata/domains/devchata.in.ua/public_html/administrator/components/com_jcomments/admin.jcomments.html.php
String:: confirm(

File: /home/devchata/domains/devchata.in.ua/public_html/administrator/components/com_jcomments/admin.jcomments.php
String:: $_POST[

File: /home/devchata/domains/devchata.in.ua/public_html/administrator/components/com_users/views/groups/tmpl/default.php
String:: confirm(

File: /home/devchata/domains/devchata.in.ua/public_html/administrator/components/com_menus/views/menus/tmpl/default.php
String:: confirm(

Папка "fcgi" содержит файл "devchata.in.ua.cgi"
Его содержимое:
#!/bin/sh

DOMAIN_NAME=`basename "$0" | sed 's/.\{4\}$//'`
USER_NAME=`/usr/bin/id -nu`

DEF_PHP_VER_FILE="/usr/local/php/conf/default_php_ver"
DEF_MEMORY_FILE="/usr/local/php/conf/default_memory_limit"

PHP_VER_FILE="/home/$USER_NAME/.system/conf/$DOMAIN_NAME/php_ver"
MEMORY_FILE="/home/$USER_NAME/.system/conf/$DOMAIN_NAME/memory_limit"

#Configure PHP version
if [ -s $DEF_PHP_VER_FILE ]; then
DEF_PHP_VER=`/bin/cat $DEF_PHP_VER_FILE`
else
DEF_PHP_VER="5.3"
fi

if [ -s $PHP_VER_FILE ]; then
PHP_VER=`/bin/cat $PHP_VER_FILE`
else
PHP_VER=$DEF_PHP_VER
fi

#Configure PHP memory limit
if [ -s $DEF_MEMORY_FILE ]; then
DEF_MEMORY_LIM=`/bin/cat $DEF_MEMORY_FILE`
else
DEF_MEMORY_LIM="128M"
fi

if [ -s $MEMORY_FILE ]; then
MEMORY_LIM=`/bin/cat $MEMORY_FILE`
else
MEMORY_LIM=$DEF_MEMORY_LIM
fi


PHP_INI_SCAN_DIR="/home/$USER_NAME/.system/conf/$DOMAIN_NAME/$PHP_VER"
export PHP_INI_SCAN_DIR
PHP_FCGI_CHILDREN=0
export PHP_FCGI_CHILDREN
PHP_FCGI_MAX_REQUESTS=1000
export PHP_FCGI_MAX_REQUESTS
exec /usr/local/php/$PHP_VER/bin/php-cgi -d memory_limit=$MEMORY_LIM

 

извините, не совсем понимаю, о чем вы( в сканере, вы имеете ввиду?
на счет файла действительно это так, файл системный и на него зачастую ссылаются логи. Сегодня подозрительно не блокируют сайт, поменяла пароли, проверила все файлы в основных подозреваемых папках, ничего пока не попалось( Думаю, стоит спросить у хостера еще за этот файл. Большое спасибо!

 

Аналогичная проблема, подскажите что за сканер, как им пользоваться и где взять?

 

Нашол вредокод, почистил, сайт отображается. Захожу в админку - а там вот такое, и эти ссылки не работают... Стоял К2.


Такое у меня уже было, когда я игрался с админкой, а что именно не помню.. спасло что в другом окне была открыта ещё одна авторизованная страничка, и я вернул ту галочку. А тут с другого компа в новой сессии я туда не попадаю. Может кто подскажет? Наверняка это правится где-то в базе, имхо.

Вообще этот К2 мне не особо понравился, и не нужен в принцыпе, просто его просил модуль-галерея помоему, или шаблон?( Помогите пожалуйста, 3 часа ковыряюсь..