Вломали сайт на Joomla 2.5 Появляется код в файлах .js

[Tippmann]

На моём сайте (Для просмотра ссылки Войди или Зарегистрируйся) вчера был обнаружен гуглом вредоносный код. Первое, куда он был добавлен, файл jquery-ui-1.8.16.custom.min.js в компоненте soccomments (pkg_soccomments_v1.3_J17-25, Для просмотра ссылки Войди или Зарегистрируйся).

Затем стал появляться в других *.js файлах. (Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся)

Меня дезориентируют следующие данные:

Во-первых, дата и время «Последнее изменение» файлов, которые подверглись модификации, осталось нетронутым. Как такое возможно? Все файлы имеют права доступа к фалу стандартные (0644), к папкам тоже (0755).

Во-вторых, по логам сервера нет ни единой записи постороннего доступа к ФТП. Даже попыток нет. Доступ к ФТП привязан к моему IP.

Я не пойму как вообще происходит заражение? Через какую дырку? Что я не закрыл, что так легко нашпиговали JSфайлы? Подскажите пожалуйста. Скажите, какие дополнительные данные вам показать, чтобы было яснее картинка.

Спасибо заранее.

 

[Dimann]

да не факт, что вообще взломали. возможно ложное срабатывание. отправь файлы на проверку другими сервисами.
еще вариант: плаг скачивался с оффсайта? если сливать с "левых" сайтов, то они могут сразу оказаться "зараженными" (могут закладочку добавить).

 

[Tippmann]

да не факт, что вообще взломали. возможно ложное срабатывание.

Непонятно. Доктором вебером (Для просмотра ссылки Войди или Зарегистрируйся) проверил - всё нормально. Пишет даже что редиректа нет, в противовес гуглу.

НО! Вот файлы (см. вложение). Не сложно сравнить и увидеть дополнительный код. В другие JS вставлены такиеже фрагменты.

Плагины и компоненты скачивал всё с оф. сайта.

Главный вопрос как? при тех условиях что я перечислил в файлы Js УДАЁТСЯ вставить дополнительный код???

 

[Tippmann]

Вот что пишет "HTTP логе доступа":

Спойлер

...Line 338: 66.249.84.51 - - [28/Dec/2013:00:52:30 +0200] "GET /components/com_virtuemart/assets/js/facebox.js HTTP/1.0" 200 10401 "http://actionpoint.biz/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    Line 339: 66.249.84.51 - - [28/Dec/2013:00:52:30 +0200] "GET /components/com_virtuemart/assets/js/vmsite.js HTTP/1.0" 200 3309 "http://actionpoint.biz/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    Line 341: 66.249.84.51 - - [28/Dec/2013:00:52:30 +0200] "GET /modules/mod_iceslideshow/assets/script_16.js HTTP/1.0" 200 16402 "http://actionpoint.biz/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"...

Т.е. сразу, после того как я восстанавливаю резервную копию, начинается заражение.

Я пароли сменил. Через что происходит заражение не пойму. Что и как перекрыть??