У клиента так и стал чужой домен ,зеркалом. А в Я.веб-мастер приходило письмо о зеркале ?
Есть возможность запуска пхп ?
На всяк случай ссылка воть
Правда аваст ругается теперь на ссылку,хотя вчера было норма. ))
п.с.
Добавлю и "свой" малвар.А вдруг кто встречал.
SeoPerez,
А малвар такой же ?
Проверьте сканером http://sitecheck.sucuri.net/scanner/
Так ТС сам даст доступ. ))
Как вариант- удалят чужие шеллы,а потом зальют свой и будут продавать шелл,там же на античате.
Значит через шелл слили файлы и БД.
Закрыть админку сайта,использовав http-авторизацию в nginx.
.htaccess
#Блокируем плохих ботов и роботовSetEnvIfNoCase user-Agent ^FrontPage [NC,OR]SetEnvIfNoCase user-Agent ^Java.* [NC,OR]SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR]SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR]SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR]SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]SetEnvIfNoCase user-Agent ^Zeus [NC]<limit get="" post="" head="">Order Allow,DenyAllow from allDeny from env=bad_bot</limit>
Проверено на VPS клиента.Тоже были письма от хостера о превышении нагрузки,и лог доступ под 4.5 гиг
Отключи com_mailto или пропиши проверку на авторизацию.
Не поможет,ищи шелл.
Включить показ X-PHP-Originating-Script
http://php.net/manual/ru/mail.configuration.php
Странный хостер, не хочет удалять левые файлы с вредоносным кодом.
Нужно обновить Джумла до 1.5.26. Это легче сделать,и по времени и по деньгам.
Если очень длинный набор символов,то удаляй.
