Cześć,
Dzisiaj pojawił się problem z prawidłowym wyświetlaniem strony. Ogólnie jest niezły chaos. Nie wiem o co chodzi, bo wczoraj było ok. Jak to wygląda przedstawia poniższy screen:

5795

Czy ktoś wie co to jest, od czego tak mogło się zrobić i jak to naprawić?

Teraz zauważyłem że jak wchodzę na stronę przez google to przekierowuje na
http://voqukyh.ru/count9.php

Gdybyś się trochę rozejrzał po forum, to zauważyłbyś sąsiedni wątek (http://forum.joomla.pl/showthread.php?65806-Joomla!-zhakowana-czyli-problem-z-htaccess&p=293857)... I ten też (http://forum.joomla.pl/showthread.php?65787-dziwne-zachowanie-w-wyszukiwarce) w podobnej sprawie.

W Twojej sytuacji potrzebna lektura to ten artykuł (http://wiki.joomla.pl/index.php/Witryna_po_w%C5%82amaniu) na wiki.

W bazie danych mam kilkadziesiąt pozycji zaczynających się od jos_TeraWurfl_ i dalej jest np. Alcatel, Siemens, Android, LGUPLUS itd. Czy to są pawidłowe wpisy czy mogły zostać utworzone po włamaniu?

Trudno przesądzić - jeśli miałeś zainstalowane rozszerzenie w rodzaju Mobile Joomla! (http://www.mobilejoomla.com/), to zapewne wpisy pochodzą z tego źródła (ale i tak mogły zostać zmienione przez włamywacza). Jeśli nie - można podejrzewać, że włamywacz się podszywa.

Napisz, poproszę, jakie miałeś zainstalowane wersje J! oraz JCE i Phoca Gellery (jeśli były).

Czy masz już jakieś poszlaki co do sposobu włamania?.

Joomla w wersji 1.5.22. Phoca Gallery nie miałem. Co to jest JCE?

Nie wiem jakim sposobem się włamali. Pierwszy raz jestem w takiej sytuacji. Nawet nie wiem jak sprawdzić jakim sposobem się włamali. Czytałem żeby sprawdzić plik .htaccess. Nie mogę teraz wrzucic jego zawartości bo jestem w pracy. Z tego co widziałem to w głównym katalogu jest nazwijmy to zwykły plik .htaccess i htaccess.txt

Zauważyłem też że w folderze images tam gdzie mam wszystkie zdjęcia i obrazki wpisów, są dziwne foldery a w nich foldery z nazwami jakiś ludzi typu Neil_Armstrong i dwucyfrowy numer.

Na razie zmieniłem tylko hasła do ftp, panelu admina w joomli poczty i konta na serwerze.

J! 1.5.22 - cóż, to właściwie wyjaśnia powody włamania. Od tego czasu było kilka poprawek bezpieczeństwa, aktualna wersja to 1.5.26...

JCE (http://www.joomlacontenteditor.net/) - popularny edytor, jego starsze wersje okazały się mocno dziurawe.

Zmiany haseł, które wykonałeś, najprawdopodobniej nic nie dadzą: po pierwsze prawdopodobnie właśnie wspomniane pliki w /images zawierają kod, który uruchomiony zdalnie powoduje dopisanie do .htaccess fragmentu z przekierowaniem; po drugie - dziura którą dostał się włamywacz nadal istnieje w systemie.

txt.htaccess - taki plik jest zapisywany w katalogu głównym przy instalacji J!, jego nazwa powinna zostać zmieniona na .htaccess przez admina przy włączaniu prostych adresów.

Dobra, zdobywam coraz więcej informacji :) Stronę po włamaniu będę przywracal pierwszy raz i nie mam za dużej wiedzy na ten temat. Co mam robić po kolei?

Mam zrobiony backup bazy danych ale robiłem ją jakieś 2 tyg temu. Mam też zgrany cały katalog strony na dysk lokalny ale to robiłem dawno, jakieś 2 miesiące temu. Czy mogę teraz zgrać cały katalog i wywalic te foldery które wydają się zainfekowane? Głównie zależy mi na folderze images ze wszystkimi zdjęciami do wpisów itp. Ważne są też moduły, bo niektóre z nich modyfikowalem, tłumaczyłem itd.

Rozumiem że muszę zacząć od zainstalowania joomli w wersji 1.5.26?

Co mam robić po kolei?

http://www.wiki.joomla.pl/index.php/Witryna_po_w%C5%82amaniu

W folderze images były takie foldery:
associationcamp,
enjoymentautumn,
engagedicarrot,
continentdig,
continentdig

W nich z kolei po kilka folderów w stylu: Christopher_Lee70, Peter_Doyle63 itp.
W każdym z tych folderów był plik index.html. Chciałem podejrzeć zawartość, ale przy próbie zgrania Total Commanderem pliku na dysk, G Data wykrywała wirusa. Wszystkie foldery usunąłem.
Zauważyłem też, że jak zmienię template na inny to strona działa normalnie, więc pewnie zaatakowali templatke.

Czy ktoś mógłby przejrzeć logi jakbym je udostępnił?

bazyl, w punkcie nr 3 jest link do skryptu tworzącego listę ostatnio zmodyfikowanych plików. Niestety nie działa, czy masz jakiś inny link?

Proszę, wypier.php znajdziesz tu (http://dropcanvas.com/qnrwg)

Problem był chyba w plikach templatki, bo wgrałem wszystkie pliki templatki z kopii zapasowej i strona działa dobrze.Zrobiłem kopię Akeeba Backup. Może teraz wystarczy zaktualizować joomle do 1.5.26 i jeszcze raz zmienić wszystkie hasła?

Na tak postawione pytanie nie ma dobrej odpowiedzi. Instrukcja, którą Ci polecaliśmy, jest czymś w rodzaju "opisu dobrych praktyk". Czy Twoja "droga na skróty" może okazać się skuteczna? Może. Może też okazać się nieskuteczna. Sam opisując sytuację stwierdzasz "problem był chyba w..."