Вчера решил зайти на сервис https://webmaster.yandex.ru/ и посмотреть, насколько хорошо индексируется мой сайт. Заглянул в раздел «Индексирование сайта > Страницы в поиске > За последнюю неделю» и обнаружил там десятки однотипных адресов, ведущих на рекламный сайт. Стал разбираться. Оказалось, подобную заразу подхватили еще три сайта под управлением Joomla (они находятся на одном сервере). К счастью, мне помогли разобраться в азах удаления подобных вирусов и троянов.
Первым делом я полез на FTP-сервер и нашел там непонятный файл cli.php. Кроме того, в файле index.php в начале файла были обнаружены непонятные строки. Поиск аналогичных строк вредоносного кода результатов не дал. Возможно, атакующие создали один файл и изменили другой. А могли спрятать код трояна куда подальше.
Я удалил файл cli.php, удалил чуждые строки в index.php, но после этого сайт перестал грузиться. Похоже, поломался файл index.php. Тогда я удалил испорченную версию и скопировал на сервер index.php из архива месячной давности (регулярно делайте бэкапы, причем храните несколько бэкапов).
После этого я проверил все папки и файлы в корне, выставив права 755 на папки и 644 на файлы. По идее, теперь нужно поменять пароли от FTP-сервера и доступа на сайт.
Выяснить, откуда вредоносных код попал на мой сайт, мне не удалось. Это может быть вирус на компьютере, перехвативший FTP-пароль. Может быть, атака прошла через уязвимости Joomla или сторонних компонентов, плагинов и расширений. Не знаю, мне для выяснения этого не хватает знаний.
Что буду делать дальше? Пока подожду. Проверю специальными антивирусными утилитами. Займусь обновлением сайтов до последних версий Joomla. Возможно, атака больше не повторится. В противном случае придется и дальше изучать азы безопасности.
P.S. Советы от Яндекса как вылечить зараженный сайт:
https://yandex.ru/support/webmaster/security/cure.xml