Joomlaサイト ハックされてました…

本サイトの前身であるJoomla側のサイトをふと覗いてみたらなんだか表示が真っ白。ソースを見たら、バイアグラ系のリンクが鬼のように貼られまくっていてそのせいで表示がバグったようです。
最初はコメントかトラックバックに対してDoS攻撃を仕掛けられたのかと思いましたが、形跡無し。
DB上のどのテーブルの中にも該当リンクで引っかかるものがない。

…ファイルいじられてる?と思い、Joomla配下をgrepかけたら出てきました。テンプレートが…。
12/26 07:04付けで更新されてます。
過去にawstatsのバージョンが古くてバックドア開かれた事があったので、その恐怖が頭をよぎります。
すぐさまApacheのアクセスログを調べてみると、該当時間にJoomlaの管理画面系URLからテンプレートに対してイジッているような履歴が残ってました。

ただ、
・あからさまに管理者画面ログオン→テンプレート管理画面表示までの間のプロセスが吹っ飛ばされてる
・管理者画面からログインしてるんだったら、もっと色々やるはず
という点から、クロスサイトスクリプティングで管理画面を更新されたような感じです。

検証しきれてませんが、
1. ログインしてるよという情報で偽装したCookieを自作
2. その上でテンプレートをいじるPOST情報を直接発行して更新
という事をしてるようです。

という意味では、Joomla以外の影響は限りなく低そうです。

一応、Joomlaとクロスサイトでググったら色々出てきたので多分それのどれかに引っかかったんでしょう。
バージョンも途中から上げてなかったし。

という事でJoomlaは閉鎖する事にしました。
早いとこJoomlaのコンテンツ全部hcmsに移管せねば。