вчера вечером появилась хрень в файле includes/framework.php
ранее не была замечена...
текст хрени:
+
Скрытое содержимое доступно для зарегистрированных пользователей!
+
смотрим, ищем и чистим... вирусняк грузит баннеры ...
только как он попал на два сайта (один joomla 1.5 второй joomla 3.4.8)
т.е. джумла последняя и в ней тоже хрень... да еще и то что этот скриптик запускается не сразу, а UNIX-TIME 1456736784 , а это "29 февраля 2016 г. 15:06:24"
т.е если бы не случайность - не кинулся бы искать ее... а теперь вычислить бы откуда появилась эта хрень? ведь на joomla 3.4.8. стоит rsfirewall v 2.9.7 (предпоследняя версия)
и в папках (только в корне папок, в подпапках нет) появился файл с именем indexs.php с текстом
+
Скрытое содержимое доступно для зарегистрированных пользователей!
+
даже в тех папках которые к joomla никакого отношения не имеют
+++ также в папках modules/mod_banners и modules/mod_feed появились левые файлы