Witam serdecznie,


Mam problem z ze stroną internetową, a konkretnie z back linkami wylatującymi ze strony po ataku.
Wersja joomli 3.6.5
Niestety nie zrobiłem wcześniej kopi zapasowej witryny więc opcja backup’u nie wchodzi w grę.


Włamanie polegało m.in na zmianie plik sitemap.xml i linkowaniu na strony z rozszerzeniem „*.qhtm


Za pomocą programu MELD ściągnąłem całą witrynę na dysk lokalny oraz ściągnąłem czyste pliki joomli w wersji 3.6.5 z serwera joomli. Za pomocą w.w programu porównałem zawartość i pousuwałem dodatkowe wpisy i pliki. Tak samo zrobiłem z folderem szablonu joomli gdyż posiadam jego czystą kopię i równie pousuwałem dodatkowe wpisy i pliki.


Przeskanowałem pliki skryptem jamss.php oraz zainstalowałem antywirusa Centrora Security i co mnie zaciekawiło że w logach z antywirusa widać blokowane wylatujące linki.
I niby wszystko jest OK., strona wisi, ale na logach z serwera widać czasami dziwne zachowanie:


"GET /index.php/power-essays-com-review HTTP/1.1" 404 795 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
"GET /vskdmoakleyen/9y5g0u80/23491379.qhtm HTTP/1.0" 404 1633 "http://XXXXX.pl/vskdmoakleyen/9y5g0u80/23491379.qhtm" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.111 YaBrowser/16.2.0.3539 Safari/537.36"


Lub


GET /ebyrhoakleyen/2o0g9h80/22502580.qhtm HTTP/1.0" 404 1633 "http://XXXXX.pl/ebyrhoakleyen/2o0g9h80/22502580.qhtm" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36"
"GET / HTTP/1.0" 200 30492 "http://XXXXX.pl/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36"
"GET /zdadsugges/9s5k8z33/853718834.qhtm HTTP/1.1" 200 1210 "http://XXXXX.pl/zdadsugges/9s5k8z33/853718834.qhtm" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36"
"GET /wpqeqoakleyen/6q1o6o79/73083407.qhtm HTTP/1.0" 404 1633 "http://XXXXX.pl/wpqeqoakleyen/6q1o6o79/73083407.qhtm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.103 Safari/537.36"




Zauważyłem że problem występuje głownie podczas gdy pytanie jest poprzedzone na protokole HTTP/1.0
Próbowałem z poziomu .htaccess zablokować adres *.qhtm ale to nie działa.

Z góry dziękuję za pomoc.
Pozdrawiam.