Viagraa tarjolla Joomla-sivustolla

Onko muille tuttuja Joomla 1.5.26 sivustolle satunnaisesti ilmestyvät mainos- yms. linkit? Linkit näkyvät satunnaisesti (itse en ole onnistunut niitä yrityksistä huolimatta näkemään, mutta käyttäjältä olen saanut sellaisesta kuvakaappauksen) ja ne tulevat keskelle artikkelin tekstiä. Tiedostojen käyttöoikeudet tarkistin enkä löydä palvelimelta mitään ylimääräisiä tai muuttuneita tiedostoja ainakaan päivämäärätietojen pohjalta. Samoin tietokannasta en löydä muutoksia sellaisissakaan artikkeleissa, joissa ylimääräiset linkit kuitenkin ovat olleet.

Osaisiko joku ohjataoikealle tielle tilanteen korjaamiseksi?

Veikkaisin, että sivustosi on joko hakkeroitu tai sitten olet asentanut jonkin sivupohjan tai lisäosan jossa on jo valmiiksi ollut jotain hämäriä linkkejä. Usein nämä linkit saatetaan piilottaakin sivustolta, mutta on kuitenkin lähdekoodissa.

Hyvä testityökalu alkuun on ainankin sucuri.net/ skannaus joka tunnistaa jo aika paljon hakkeroituja tiedostoja.

Ja kun olet yhä 1.5 alustalla niin suosittelisin siirtymistä 2.5/3.x versioon vähitellen. Ja lisäturvaa sivustolle saat esim. Akeeba Admin Tools Pro työkalulla.

Voit toki laittaa linkin sivustollesi, jotta voitaisiin katsoa täältäkin.

Haittakoodi voi olla myös käyttäjän omalla koneella, mutta silloin tuo esiintyisi myös muilla sivustoilla.

Kiitos vihjeistänne. Ensin ajattelin itsekin, että haitakkeet olisivat käyttäjän koneella, kun en itse saanut niitä mitenkään näkyviin. Kun ongelma sitten ilmeni toisellakin käyttäjällä eikä ilmiötä näy heille muilla sivustoilla, tuntuu todennäköiseltä, että ongelma on tuolla Joomla-sivustolla.

Sivusto olisi jo tosiaan pitänyt päivittää uuteen Joomlaan, mutta päivitys on odottanut muutenkin edessä olevaa suurempaa remonttia. Sivupohjassa en uskoisi haittakoodin olevan, sillä sama pohja on ollut käytössä jo useamman vuoden ilman ongelmia. Lähinnä epäilen jotakin lisäosaa ja nyt lienee käytävä ne kaikki läpi ja katsottava onko niissä jossakin jokin tunnettu ongelma. Sucuri ei niitä ainakaan tunnistanut.

EDIT: Poistettu näyttökaappaus ja linkki sivustolle.

"Valitettavasti" itse en saanut kyseistä millään tavalla, ja F-Secure ei ainakaan herjannut mitään? Onko joku saanut täältä olevista vilkaisijoista?
Tuo mustalista näyttää ainakin minusta aika hyvältä(clean): screencast.com/t/ZtnRtybbv
Joten... summa summarum tai jotain?, jotenkin on ainakin mahdotonta saada kyseistä, henkilöille joilla suojaus on kohillaan jotenkin? Onko kenties vanhoja selaimia, javahässäkkä-ongelmia? vaikea sanoa tältä 5 min. kokeilun jälkeen...

Ps. meikäläisel on sellainen, että ongelma tulee aluksi todentaa, ennen kuin voi ajatella ratkaisua

Oletteko ollut yhteydessä palveluntarjoajaan?

Tuo nmittäin haiskahtaa vähän siltä että palvelin on hakkeroitu...

EDIT:
pari tuntia olen aina silloin tällöin klikkaillut mutta ei tule mitään spämmiviestejä näkyviin...

Huomenta... screencast.com/t/I6vBdFf5Mu eli en vieläkään pysty todentamaan ongelmaa...

En voi kun ihastella teidän ammattilaisten paneutumista ongelmaani, siitä iso kiitos teille!

Tuota palvelimen hakkerointia hieman itsekin aloin epäillä, sillä tmp-hakemistosta löytyi ainakin minulle täysin vieraita tiedostoja: gdlib,php, i,php, j.php, jos_c4db.php, jos_ntxq.php, jos_sbfs.php ja jos_vjnu.php. Useissa noista on ennen varsinaista koodia:

/*======================================================================*\
|| #################################################################### ||
|| # vBulletin 3.1.9
|| #

---

# ||
|| # Copyright ©2000-2011 vBulletin Solutions Inc. All Rights Reserved. ||
|| # This file may not be redistributed in whole or significant part. # ||
|| #

---

VBULLETIN IS NOT FREE SOFTWARE

---

# ||
|| # www.vbulletin.com | www.vbulletin.com/license.html # ||
|| #################################################################### ||
\*======================================================================*/

Mitään vBulletinia en ole koskaan sivustolle asentanut, enkä mitenkään voi uskoa sivuston omistajankaan sellaista tehneen (en pääse kysymään häneltä, sillä hän on nyt keskellä Atlantia).

Kannattaa tarkistaa myös, ettei kyseessä ole tämä:

yle.fi/uutiset/haittaohjelma_koneella_ujuttaa_main...kaikille_nettisivuille/6577010

Tuollaista käyttäjän koneella olevaa pöpöä itsekin ensin ajattelin, mutta kun ilmiö esiintyi useammalla kuin yhdellä käyttäjällä ja heillä vain tällä kyseisellä Joomla-sivustolla, niin suljin tuon vaihtoehdon pois.