Hola chicos, me han inyectado cógido html en "uno" de mis sitios web con Joomla. Estoy investigando los demás.

El código que han introducido genera una web en html para descargas de archivos en rapidshare. Que linces!!

El caso es que sabía que podía ocurrir y necesito de algún consejo. La versión de Joomla donde me han colado el invento es la 1.5.18.

Lo que he investigado me dice que han introducido el material a través del componente facileform, de hecho las webs html se creaban en: midominio.com/components/com_facileform/...nawebrapidshare.html

No recuerdo tener ese componente instalado en mi joomla, con lo cual me hace pensar que han entrado hasta en la cocina o más, por lo que he tirado el sitio web abajo y a empezar de nuevo. Espero que alguna copia de seguridad esté limpia...

Menos mal que no me han colado un phishing de un banco!! que lo he visto en algún sitio.

Y hoy me ha tocado a mi, pero sabed que estas cosas pasan...

¿¿Alguna idea que queráis aportar??

Actualización:

Aquí os dejo parte del cógido introducido para propósitos de investigación.

<div id='mlk' class='menu' style='position:absolute;top:-10000px;left:-10000px;'><a href="/components/com_facileforms/freedom-house-cia-p-311.html" title="freedom house cia">freedom house cia</a> | <a href="/components/com_facileforms/refurbished-desktops-uk-p-1254.html" title="refurbished desktops uk">refurbished desktops uk</a> | <a href="/components/com_facileforms/colegio-holy-cross-p-1673.html" title="colegio holy cross">colegio holy cross</a> | <a href="/components/com_facileforms/costa-blanca-shoe-p-658.html" title="costa blanca shoe">costa blanca shoe</a> | <a href="/components/com_facileforms/wal-mart-summary-p-2322.html" title="wal mart summary">wal mart summary</a> | <a href="/components/com_facileforms/2005-texas-longhorn-football-roster-p-1390.html" title="2005 texas longhorn football roster">2005 texas longhorn football roster</a> | <a href="/components/com_facileforms/plains-commerce-bank-visa-online-p-35.html" title="plains commerce bank visa online">plains commerce bank visa online</a> | <a href="/components/com_facileforms/beaches-chapel-school-p-873.html" title="beaches chapel school">beaches chapel school</a> | <a href="/components/com_facileforms/portuguese-last-names-p-970.html" title="portuguese last names">portuguese last names</a> | <a href="/components/com_facileforms/identical-twins-have-identical-fingerprints-p-761.html" title="identical twins have identical fingerprints">identical twins have identical fingerprints</a> | <a href="/components/com_facileforms/quinny-dreami-in-p-924.html" title="quinny dreami in">quinny dreami in</a> | <a href="/components/com_facileforms/synoptic-charts-archive-p-290.html" title="synoptic charts archive">synoptic charts archive</a> | <a href="/components/com_facileforms/walking-tall-stars-p-1942.html" title="walking tall stars">walking tall stars</a> | <a href="/components/com_facileforms/gundam-seed-episode-21-english-dub-p-885.html" title="gundam seed episode 21 english dub">gundam seed episode 21 english dub</a> | <a href="/components/com_facileforms/loja-de-eletronico-p-1009.html" title="loja de eletronico">loja de eletronico</a> | <a href="/components/com_facileforms/nguyen-ngoc-binh-p-520.html" title="nguyen ngoc binh">nguyen ngoc binh</a> | <a href="/components/com_facileforms/kel-tec-trigger-p-2055.html" title="kel tec trigger">kel tec trigger</a> | <a href="/components/com_facileforms/blackberry-curve-8900-upgrade-p-1764.html" title="blackberry curve 8900 upgrade">blackberry curve 8900 upgrade</a> | <a href="/components/com_facileforms/hannah-montana-season-6-p-271.html" title="hannah montana season 6">hannah montana season 6</a> | <a href="/components/com_facileforms/hyatt-place-columbus-north-p-2381.html" title="hyatt place columbus north">hyatt place columbus north</a> | <a href="/components/com_facileforms/part-time-jobs-in-pampanga-p-1505.html" title="part time jobs in pampanga">part time jobs in pampanga</a> | <a href="/components/com_facileforms/buddhism-beliefs-after-death-p-260.html" title="buddhism beliefs after death">buddhism beliefs after death</a></div>

Ostras! menuda putada!

Es bueno tener copias de seguridad para estas cosas. A mi me metieron un defacement una vez en un Joomla desactualizado xD

Lo que yo haría en esta situación sería:
- Restaurar copia de seguridad
- Averiguar por donde han entrado ( un joomla sin actualizar con bugs de seguridad, una extension vulnerable, etc)
- Actualizar a la última versión (incluso ya que nos ponemos actualizaría todo)

En caso de no tener copia de seguridad de Joomla haría lo mismo e intentaría limpiar el contenido basura que han introducido. En tu caso como dices que no utilizas facile_forms... pues eliminalo!

Y en cualquiera de los dos casos ¡Cambia las contraseñas! y verifica que no existen más administradores de los que deberían.