С правами вроде разобрался. Я рассуждал так - пусть жумла ломанутая, я на файловом уровне запрещу пользователю www-data менять свою же папку, так и вирус не сможет прописаться. Как оказалось (по крайней мере для меня это было новостью
) что если у пользователя есть права на запись к
родителю файла, то он вполне может сделать копию этого файла, назначить права, какие хочет, затем старый грохнуть, ну и соотв. переименовать новый. А в результате кажется, что файл сменил, владельца и маску прав.
Ну в общем, забрал я у www-data права на папку с сайтом, подождал недельку - вроде все нормально.
Потом выяснилось, что те люди, которые говорят - "Не делай через ж..пу, все равно переделывать" таки оказываются правы. В жумле после этих мероприятий перестали работать многие функции. Странички добавляются, а редактор работает наполовину и т.д. Видать как-то файловая система на запись задействуется, не все через БД.
Короче пришлось поменять пароль mysql root,обновил жумлу - пока все нормально, сижу жду...