Хакнули сайт, идет перенаправление. В какую сторону копать?

Question

[p4p]

При открытии страницы, если разрешены всплывающие окна осуществляется переход (редерикт) на посторонний сайт (точнее сайты).
В html коде фрейма нет.

Answer 1

[Владимир Миронов]

Возможно, в .htaccess файлике

Comments

[p4p]

чист

Answer 2

[Евгений Самойленко]

Откатиться на последний удачный бекап

Comments

[Евгений Самойленко]

Radiocity: Смысл - вернуть сайт в прежнее состояние.
Я же не написал вам, чтобы потом оставить все как есть.

[Sergey Romanov]

Radiocity: ну естественно устранить уязвимостин надо будет. Вопрос как удалить хак пока что.

Answer 3

[Елена]

Robots, пересмотреть код сайта на другие ссылки.

Comments

[p4p]

это как? Запретить переход на заданную ссылку?

[Елена]

Если в коде, то просто удалить её.

[p4p]

Nidora: так то я пытаюсь найти ссылку, но я физически не смогу пересмотреть все файл которые исполняются

[Елена]

Через Total Commander (поиском по файлам) ищите ссылку на сайт, куда перебрасывает.

[p4p]

Nidora: скачать и поиск текста в файлах?

[Елена]

p4p: да.

[Роман Якушев]

такое помогает только если ссылка в js не закодирована. попробуйте с выключенным js открыть сайт и посмотреть код, а так же все файлы которые подгружаются на страницу. у меня так же ломали - нашёл редирект в многих js файлах. но он был закодирован.

Answer 4

[p4p]

Все дело в том что сайт на joomla, делал не я, попросили помочь. Я в joomla не разбираюсь вовсе. Проверять все php файл которые так или иначе подключаются - дело гиблое.

Comments

[vsuhachev]

Тогда ищите специалиста, который решит проблему. Не глядя в исходники вообще трудно что-то предполагать по вашему вопросу

[Sergey Romanov]

p4p: Вы паписали ответ. Вы не можете писать ответ если вы пасали вопрос. Это не форум. Тут можно написать только один комент так что ответить вам не смогут. Пришите комментарии. Если нужно добавить объяснения, редактируйте свой пост.

Answer 5

[HeBonpoc]

Сделайте поиск по всем файлам:

find -name '*.php' | xargs grep 'http://badsite.ru'

это поиск вхождения badsite.ru во всех .php файлах

Answer 6

[Назар Мокринский]

Заходите в корень сайта на сервере по SSH:
$ grep -rl 'аддресс сайта куда идет редирект'
Правите файл, ищете уязвимость.

Answer 7

[Алексей Герасименко]

Как вариант: откатиться на последнюю рабочую версию, затем проверка сайта на уязвимости одним из способов: hdderror.ru/uyazvimosti/proverka-sajta-na-uyazvimo... и после - закрытие уязвимости.