[suschinsky]

pljus,
Посты не надо тут набивать, я уже писал, что установлен последний патч безопасности на 1.5.26, и насчет апгрейда на другие ветки уже писал.

PS
Поставил плагин - Marco's SQL Iniection
Вот что стал сыпать в логах -

** Local File Inclusion [GET:client_id] => ../../../../../../../../etc/passwd
** Local File Inclusion [REQUEST:client_id] => ../../../../../../../../etc/passwd

**PAGE / SERVER INFO


*REMOTE_ADDR :
162.144.71.243

*REQUEST_METHOD :
GET

*QUERY_STRING :
client_id=../../../../../../../../etc/passwd%00



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
-[client_id] => etc/passwd


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
-[client_id] => etc/passwd

[arnish]

Не для набивки постов.
Была точно токая же ситуация. Все JS скрипты были изменены, установлен последний патч безопасности на 1.5.26. Использовал AI- Bolit— скрипт для поиска кода на сайте, не панацея конечно, но показывает что и где. Как и в вашем случаи, после полной чистки и всех защитных манипуляций всё возвращалось на исходную, JS скрипты были изменены. Скажу более выкачивался бекап проверялся антивирусами. Корневая папка на хосте зачищалась, всё заливалось обратно с измененными паролями и тд. Через минуту результат был прежний.
В моём случаи, решилось всё до ужаса банально, вирус на компьютере.
стоял Norton Internet Security мышей не ловил (( скачал кучу лечащих утилит высканил вирусы, перезолил отчищенный бекап и всё стало ок.

[suschinsky]

В принципе все решилось...
На сайт был поставлен компонент RSFirewall, применены все его рекомендации.

Доступ к админке джумлы был прикрыт через .htpasswd

Добавил несколько особо подозрительных айпишников в блэк лист.

Права на папки и на файлы выставил максимально секьюрно.

Ну и еще раз сменены все пароли.

Всем спасибо за помощь!