[Решено] Помогите найти вирус на сайте

У себя на сайте начал замечать, что в статьях (и в материалах джумлы и в материалах к2), прямо в тексте в конце появились ссылки типа:

<p><a class="content_link_usualy" href="http://joomla-opt.ru/" title="каталог шаблонов для Joomla" style="font-size: 10px;">подробнее</a></p>

и судя по всему если это не во всех статьях, то по крайней мере во многих.

и так сайт на joomla 2.5.13, шаблон был взят и переделан Yoo_Lava

Может быть изначально в шаблоне был код вставлен, который добавляет ссылки. Хотя при разработке и первоначальной работе сайта такого я не замечал. Только вот спустя некоторое время.
А может это работает какой нибудь бот, который автоматом залезает на сайт, если нащупывает уже известную уязвимость, и правит статью?
Были ли еще у кого нибудь такие случаи ?

 

Пока по данному инциденту сам не разобрался. Есть подозрение, что пароль был простой и его просто подобрал какой нибудь бот, и автоматом отредактировал некоторые статьи. Есть подозрение что связанно именно с модулем К2 - возможно мне "повезло" скачать его не с самой лучшей раздачи. Буду проверять его.

А пока, была поднята тема скрытых ссылок на главной странице, до которых у меня ранее не доходили руки. Так вот сейчас нашел, довольно таки полезную фишку. Возможно знают не все - поэтому выкладываю

Ищем например с помощью тотал коммандера по файлам на сайте (в данном случае в шаблоне), предварительно выгрузив их на комп, фразу base64_decode
и нашли строку

Код:

<?php 
$mgp='gvijvsPSDsfDFSdss5dHYKoud78DFtbydy9ShghyiScdUYniU...Yjtuot3rentummorbwC5'
echo base64_decode ($mgp);?>

Теперь надо проверить - этот текст внутри одинарных кaвычек вставляем онлайн декодер http://base64.ru
Это оказались как раз те ссылки, которые я искал, но не находил, потому что они были в файлах зашифрованы

Удалил полностью <?php ... echo base64_decode ($mgp);?> и все.

Это же решение можно найти и просто погуглив, но зачем ))

--- Добавлено, 17 ноя 2015 ---

В чате пользователь Zulus дал ссылку на уже поднимаемую тему, за что огромное ему спасибо. (И кстати мне еще раз урок больше внимания придавать поиску по сайту, а не гуглу)
https://wmasteru.org/threads/Взломали-joomla-вирус-на-сайте.2174/

Где первым делом советуют проверить наличие подозрительных php-файлов на сервере.
И я тут же нашел пару подозрительных файлов в папке /images framework.php и joomla-library.php, где вообще подобных файлов в джумле вообще быть не должно.

Пока я бросил только беглый взгляд на работу файлов, но уже видно что ничего в них полезного нет. Оставил себе на память на компе, а с сервака удалил.
Проверил права на папку /images - 777. Возможно кто-то выставил во время работы временно, а потом забыл поправить, это уже неважно.

Пишу это для того, что бы таких глупых ошибок не повторяли: Верстка и наполнение сайта контентом - это не конец работы. Надо всегда уделять большое внимание безопасности, особенно когда имеешь дело с популярными cms. Ну и как минимум постоянно проверять права на папки на сервере, и желательно пользоваться каким нибудь сервисов контроля версий, типа гитхаба.

Еще раз спасибо всем за полезную инфу, ссылки и подзатыльники.
Буду сидеть и латать дыры ))))