Проверь корень сайта на наличие файла lol.html

Сегодня вместо того чтобы лечь спать, нашел на одном своем сайте левый фаил lol.html в самом корне.
Кто-то решил посмеяться и ломануть мой сайт. Он еще и контакты оставил (мой твитер @s3n4t00r), собака переодетая. Особо не вникал в содержание файла, снес его почти сразу же, успел увидеть внутри только ссылку во фрейме на ютьюб ролик.
Подозреваю, что сломали через EasyBlog, но не уверен на 100%.
Проверьте на своих сайтах, может не один я такой "везунчик" сегодня.
После находки этого lol.html нашел еще очень много дряни в папке images/easyblog_shared/ по удалял всю еЁ и там. Ни чего не сломалось, все обошлось легким испугом. Просканировал сайт RSFirewall-ом, сменил пароли, отписался здесь и лег спать.

Недели 2 назад произошло:
Мне пришлось файлов 30 вычищать по всему домену, были созданы какие-то доп. файлы, которые по названию совпадают с оригиналом или логически могут быть размещены в данной папке). Поэтому не стоит качать модули с левых сайтов)) файл в корне вроде также lol.html назывался.

была дыра в безопасности joomla. нужно обновится до последней версии.
и вообще нужно проверить айболитом (revisuim.com) или манулом (manul яндексовый).
Покажет все подозрительные файлы.
Т.к. новые файлы это не самая проблема. проблема в том, что в файлы существующие джумлы внедрен код.
Это почти 100%

Скан firewallом не все может выловить, скорей даже мало чего.

В частности файл defines.php в папке по-моему includes посмотрите визуально, на наличие когда вредоносного.

Coresolo, я давно заметил что через EasyBlog часто ломают сайты. Каких бы версий и обновлений оно не было. Вообще не рекомендую его ставить.

В том то и дело, что за всю свою практику не разу не качал левых компонентов.

Обновлял всегда и все до последних версий. В этот раз просто сайт стоял около месяца без обнов, когда в Джумле уже заплаток наделали вплоть до последней версии, а у меня версия Джумлы 3.4.5 все еще стояла и EasyBlog тоже на пару версий не был обновлен.
Файл defines.php проверил, не изменен.
Вообще похоже на какую-то саморекламу этого арабского хакера. Во всех внедренных файлах его контакты на твитер, страничку в фейсбуке, помоему даже имеил его там был. Видео ролик вставил во фрейме по ширине и высоте равный нулю. То ли просто для фоновых арабских напевов, для создания пущего впечатления, то ли для доп накрутки просмотров на сам этот ролик. Файлы с названиями test.php, 123.php и прочие наталкивают на мысль, что человек сам не знает, что ему надо от этого взлома, хотя скорее всего я и ошибаюсь.

Я EasyBlog много где использую, отказаться от него уже очень сложно. За все время только один взлом был, да и то по причине того, что заказчица сайта сама указала логин и пароль после перехода по ссылке в фишинговом письме =))

Если они так охотно оставляют свои данные и не вырубают сайты, возможно, они хотят, чтобы им написали: "Красавчик, взломай ещё ... сайт". А также, они получили с моего аккаунта довольно неплохое кол-во исходящих писем, спам и прочую фигню) Хостеру пришлось отключить меня от почты до устранения причины этого цирка)