Odhakowanie strony

[KOKO]

Hej wszystkim.

Parę dni temu zwróciła się do mnie znajoma organizacja z prośba odhakowania strony (Joomla 1.0.13 - no bo po co aktualizować). Otóż strona obecnie działa ale nadal gdzies tam są syfy które nie pozwalają jej działać w 100%.
Oczywiście brak kopi zapasowej (NO BO PO CO!) sprzed ataku (który miał chyba miejsce z rok temu). A powtarzałem żeby chociaż raz w tygodniu robili.

No ale do rzeczy:
Strona została zhakowana przez grupę która odsyła na stronę:

http://site.mynet.com/by.sovalye/hacked.html

o treści:

HACKED BY SOVALYE Ownz !!
Your Security GeT dOwn
Where The security is none?

Greetz:BY_FATýH & REDMýN & STARTURK
Join us !!
HACKED BY SOVALYE we are: BY_FATýH & REDMýN & STARTURK

contac : msn@bysovalye.com

Problem polega na tym, że nie można wejść do edycji żadnego z modułów strony. Po wczytaniu się lewej części okna edycji: Szczególu modułu, Parametry (nie wiem czy całość) - strona przekirowuje sie na URL zewnętrzny. Jako że każde okno edycji modułu różni się opcjami w Parametrach podejrzewam że syfski skrypt jest gdzieś w stopce lub praej częsci okna edycji gdzie ustawia się na jakich stronach ma być wyświetlany moduł.

Kiedyś już naprawiałem taki błąd - wtedy wystarczyło usunąć 1 pozycję w mainmenu (bo tam był syfski skrypt).
Teraz to nie wystarcza. Nie wystarcza też odinstalowanie i zainstalowanie na nowo modułów. Nie wystarczyło nadpisanie plików z joomla 1.0.15.

Ma ktoś może jakiś pomysł?
Jak coś niezrozumiałego to opiszę dokładniej.

Dzięki
KOKO

[EDIT 03:48] zauważyłem że przy wejściu do edycji modułu do adresu dochodzi taki łańcuch:

&client=&task=editA&hidemainmenu=1&id=10&8659e1375f5abf6bf9dbe5987da6e1b8=37dc31ef79a5a9122 2e193d626b2b432

[hesar]

przejezyj sobie baze i pousuwaj zbedne wpisy
8659e1375f5abf6bf9dbe5987da6e1b8=37dc31ef79a5a9122 2e193d626b2b432
jest na pewno zaszyfrowanym odwolaniem do zewnetrzengo site'u wiec musi gdzies byc w bazie albo w takiej zaszyfrowanej postaci albo jako link bezposredni
zreszta na problem w bazie wskazuje to ze nadpisywanie plikow nie rozwiazuje problemu

[KOKO]

przejezyj sobie baze i pousuwaj zbedne wpisy
8659e1375f5abf6bf9dbe5987da6e1b8=37dc31ef79a5a9122 2e193d626b2b432
jest na pewno zaszyfrowanym odwolaniem do zewnetrzengo site'u wiec musi gdzies byc w bazie albo w takiej zaszyfrowanej postaci albo jako link bezposredni
zreszta na problem w bazie wskazuje to ze nadpisywanie plikow nie rozwiazuje problemu

Tak też właśnie myślałem ze gdzieś w bazie to siedzi jednak o 4 w nocy już nie miałem siły. Dla potomnych napiszę że znalazłem, tabela jos_menu miała taki syf w sobie:

SELECT *
FROM `tak_lo`.`jos_menu`
WHERE `id` LIKE '%site.mynet.com%'
OR `menutype` LIKE CONVERT( _utf8 '%site.mynet.com%'
USING latin2 )
COLLATE latin2_general_ci
OR `name` LIKE CONVERT( _utf8 '%site.mynet.com%'
USING latin2 )
COLLATE latin2_general_ci
OR `link` LIKE CONVERT( _utf8 '%site.mynet.com%'
USING latin2 )
COLLATE latin2_general_ci
OR `type` LIKE CONVERT( _utf8 '%site.mynet.com%'
USING latin2 )
COLLATE latin2_general_ci
OR `published` LIKE '%site.mynet.com%'
OR `parent` LIKE '%site.mynet.com%'
OR `componentid` LIKE '%site.mynet.com%'
OR `sublevel` LIKE '%site.mynet.com%'
OR `ordering` LIKE '%site.mynet.com%'
OR `checked_out` LIKE '%site.mynet.com%'
OR `checked_out_time` LIKE '%site.mynet.com%'
OR `pollid` LIKE '%site.mynet.com%'
OR `browserNav` LIKE '%site.mynet.com%'
OR `access` LIKE '%site.mynet.com%'
OR `utaccess` LIKE '%site.mynet.com%'
OR `params` LIKE CONVERT( _utf8 '%site.mynet.com%'
USING latin2 )
COLLATE latin2_general_ci
LIMIT 0 , 30

Pytanie jak oni to tam wrzucili, ale podejrzewam że przez PAXXgallery która byla zainstalowana i oczywiście nie aktualizowana.

Tak czy siak dzięki hesar

pozdrawiam
KOKO