На одном старом сайте на обычном хостинге с панелью ISPManager взломали через старый WYSIWYG-редактор.
Хакер сделал хитрый вызов своего кода - при загрузке файла
/FCKeditor/js/fck_config.js
вызывается /FCKeditor/js/fck_config.js? которое редиректит и грузит с другого сайта обфусцированный js и выводит рекламу на сайте.
Полностью удалил папку с редактором.
Но при подстановке и вызове my-domen.ru/FCKeditor/js/fck_config.js - снова грузится обфусцированный js с другого сайта. Причем, адрес может быть и не только по тому пути, где лежал скрипт, главное, чтобы в url было
"/FCKeditor/js/fck_config.js"
Т.е. проблема не в зараженных каких либо файлах сайта, а системная.
В инструментах разработчика в браузере я вижу редирект
Метод запроса: GET
Код статуса: 307 Temporary Redirect
Правило для URL перехода: strict-origin-when-cross-origin
В логах 404 при вызове этого скрипта.
Переименовывал .htaccess
При отключении apache или nginx, понятно, ничего не работает.
Кажется, в ихних конфигах ничего подозрительного.
Проблема во всех браузерах, даже с которых на сайт до этого не заходил, кроме Tor.
Та же, при включении VPN во всех браузерах файл не грузится.