Witam

Dzisiaj nagle pojawiała się dziwna rzecz. Próba wyświeltenia jakiekolwiek artykuły daje pustą strone.
Strona Główna i zaplecze działają bez problemu. Natomiast klikając na dowolny artukół z menu lub przecz czytaj dalej daje pustą białą stronę, nie zawierającą żadnego kodu html.
Wyłączyłem witrynę, żeby odwiedzający się nie wkurzali.

Nie wiem czy to ja coś zepsułem/joomla (2.5.17) się wykrzaczyła czy witryna została zaatakowana.

Postanowiłem zajrzeć do foldera /logs i znalazłem tam plik error.php - jest spory (5mb) i zawiera informacje o wielokrotnych próbach logowania do witryny z różnych adresów IP i błąd - niewłasciwe hasło
Przykład:

2014-01-09 10:05:13 INFO 213.238.175.28 Joomla FAILURE: Nieprawidłowa nazwa użytkownika lub hasło albo nie masz u nas jeszcze konta.
2014-01-09 10:40:49 INFO 213.238.175.29 Joomla FAILURE: Nieprawidłowa nazwa użytkownika lub hasło albo nie masz u nas jeszcze konta.

IP wskazują jakiegoś dedyka, inne IP np wskazuja na rosję (jest tego sporo).

Pozmieniałem hasła, wgrałem dodatek zmieniający adres panelu.
Niestety kopia bazy jest dosyć stara i nie chciałbym jej przywracać. Same artykuły są z panelu administracyjnego wyświetlane w edytorze poprawnie.
Zmieniałem również ustawienia adresów proste/skomplikowane itp, nie nie pomogło. Po kliknięciu w artykół cały czas zwraca pustą stronę.

Bardzo byłbym wdzięczny za wszelkie wskazówki.

polecam na początek: http://sucuri.net/ choć nie jest pewny na 100% to znaczy może pokazać że strona jest czysta a nie jest w drugą stronę działa na 100%
musisz spytać hosting ( lub zobaczyć w cPanelu lub innym panelu) czy nie zmienili ustawień php np: wersji na wyższą

Włączyłem na chwilę witrynę i skorzystałem z ww. linku
Podała dwa linki niepoprawne - drugi znam, pierwszego nie

http://i.imgur.com/H4lIzFW.png

Niestety nic z niech dla mnie nie wynika, tylko że za 90dolarów mi to naprawią

Strona utrzymana jest na serwerach nazwa.pl, mam tam na tym samym koncie inną stronę na joomli 1.5 i tam wszystko działa dobrze

(http://i.imgur.com/H4lIzFW.png)

Nie patrz na te 90 dolarów, ale masz problem bo masz złośliwy kod, ten skaner nie pokażę Ci co i gdzie siedzi bo on skanuje kod wynikowy, generalnie wyjścia masz dwa:
1. dokształcić się i naprawić samemu
2. zlecić

Ze zleceniem będzie trudno. Zazwyczaj z wieloma rzeczami i problemami radziłem sobie sam.
Taki przypadek mam jednak pierwszy raz i nie wiem czego szukać, w podglądzie źródła strony głównej nic nie widać na pierwszy rzut oka podejrzanego.

Gdyby usunięcie złośliwego kodu było prostą sprawą ,jego"twórcy" pewnie nie zadawali by sobie tyle trudu z jego tworzeniem .Moim skromnym zdaniem ,jeżeli nie masz wcześniejszego ugruntowanego doświadczenia w tej materii ciężko będzie Ci to samemu naprawić.Zwróć uwagę dokąd prowadzą komunikaty o błędach ustalone przez skaner

2 link - Jeden do praktycznie pustego artykułu zawierającego wpis z pluginu phoca maps (mapka dojazu)

1 link - Nie mam pojęcia, taki adres/plik nie istnieje na serwerze.

opisany jest jako: 404testpage4525d2fdc

google podaje sporo wyników, ale rozwiązania nie znalazłem jeszcze na to

nic z tych linków nie wyczytasz to jest kod wynikowy, poczytaj na temat złośliwego kodu w necie to dość spora wiedza do nauczenia, ale skoro nie masz wyjścia, podpowiem że należy przeszukać zawartość plików pod kontem pewnych fraz, dużo roboty. Jeżeli masz kopię z przed zainfekowania strony przywróć z kopi w/g zasad 'działania po włamaniu'

Kopie mam ale bazy (trochę starą), witryny niestety nie.

Ciekawi mnie tez jak to się tam znalazło.

ważne są właśnie pliki

Komponentów dużo nie było, czy dogranie całych folderów z instalacji joomli dałoby radę?