На моем сайте вирус по версии Яндекса

Разобралась в чем вирус. Идет редирект мобильной вересии сайта на левый сайт. Хитаксесс - чистый только все написанное мной.

В процессе копания нашла левый модуль удалила его, яша перестал ругаться но редирект все равно через операмини идет. Причем идет редирект не со всех страниц. Статичные страницы сайта, страницы категорий, карта сайта все отображаются корректно. При открытии непосредственно страницы статей идет редирект. Мало того если после редиректа вернуться на предыдущую страницу дальше полностью корректно загружается сайт. И редеректа нет. Только при смене IP заново подгружается. (пробоавала грузить страницу через оперумини для windows? так пока не поменяешь ip - редирект не появляется). Спасает только сайт опера где свой модуль операмини и постоянно обновляются адреса. Пробовала на играться с копией сайта на стороне. Отключала все модули, плагины и категории которые можно. Не трогала только K2? который поддерживает динамические страницы. Все равно редиректит. Пробовала обновить k2, обновилось, но редирект остался. Меняла шаблон -не помогло. При попытке сравнивать фаилы с архивной копей сайта годичной давности. Кое-какие изменения нашла их заменила, но все равно редирект остался.

проблема в том, что я не знаю что искать - ява скриптов я не знаю. Все что делаю это прогой по сравнению папок и фаилов просматриваю те которые отличаются.

Единственное не пробовала удалять модули и плагины. Может они не отключаются, а только видимость создается что они отключены.

Хостеры мне помочь не могут, так как с момента появления от яши сообщений на вирус прошло более 15 дней, а глубже они не хранят информацию. Да и как давно этот редирект у меня не знаю. В прошлом году сайт уже ламали и я мобильную версию тогда не проверяла. Вычистила то что видела. Но тогда меняли хитаксесс, обнуляли главную и вставляли левый код в шаблон. Я все вычистила и год была тишина, пока снова не появились от яши сообщения.

Light_And_Dark, а мне в файле htaccess понравилось вот это:

Это у вас что, припев?

Если честно случайно 3 раза повторила одно и тоже когда создавала первичный фаил. А потом его тупо скопировала и не обратила внимание. Через время увидела, что там одно и то же, то так как ничего в этом не смыслила - не меняла, решила что тогда же правильно дела. Как то обратила внимание, что что-то там не так, но руки не доходят все править.

Это у вас острова вылупляются

Не понимаю о чем вы?

У меня тоже были такие вирусы. скачала весь сайт с файлами, удалила странные файлы. Проверила папки с редиректами, внутри все.Айболитом скринила, очистила, шелы закрыла, а с оперы редирект шел, именно с мобильника.

Я уже не знала что делать, яндекс приписал, что сайт вредоносный, пользователи убегали. Трафик упал. Но потом в отчаяньи написала хостеру о ситуации. И он мне сказал ГДЕ сидит зараза. В одном внутреннем файлике была 1 лишняя строчка с этой оперой. Удалила. И все стало хорошо (после того как яндекс и гугл проверил, что вредоносного кода нет)

Не помните что было?

---------- Добавлено 29.05.2013 в 11:57 ----------

Обратилась я по поводу взлома в техподдрежку хостинга. Они обвили меня что я даже не смотрела хитаксесс и все у меня там. может я что-то не понимаю. Помогите. Вот его содержимое (есть ли тут редирект на левй сайт, кроме feddburner - который я сама устанавливала):

RewriteEngine on

RewriteBase /

RewriteRule ^(.*)&post=(.*)$ $1 [R=301,L]

RewriteCond %{HTTP_HOST} ^www\.haircolor\.org.ua$ [NC]

RewriteRule ^(.*)$ http://haircolor.org.ua/$1 [R=301,L]

Redirect 301 /index.php/masteram.html /index.php/texniki.html

Redirect 301 /index.php/masteram/ /index.php/texniki/

Redirect 301 /index.php/masteram /index.php/texniki/

Redirect 301 /index.php/koloristika/ritem/ /index.php/koloristika/item/

Redirect 301 /index.php/ingredienty-kosmetiki/item/index.html /index.php/ingredienty-kosmetiki.html

Redirect 301 /index.php/obschie-ponyatia/diagnostika-volos/item/index.html /index.php/obschie-ponyatia/diagnostika-volos.html

RewriteRule ^(.+)\.htm$ $1.html [R=301,L]

RewriteCond %{HTTP_USER_AGENT} !FeedBurner

RewriteCond %{QUERY_STRING} ^format=feed&type=rss$

RewriteRule ^index\.php$ http://feeds.feedburner.com/jstart [R=301,L]

RewriteCond %{HTTP_USER_AGENT} !FeedBurner

RewriteCond %{QUERY_STRING} ^format=feed&type=rss$

RewriteRule ^joomla$ http://feeds.feedburner.com/jstart/joomla [R=301,L]

########## Begin - Joomla! core SEF Section

#

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

#

# If the requested path and file is not /index.php and the request

# has not already been internally rewritten to the index.php script

RewriteCond %{REQUEST_URI} !^/index\.php

# and the request is for root, or for an extensionless URL, or the

# requested URL ends with one of the listed extensions

RewriteCond %{REQUEST_URI} (/[^.]*|\.(php|html?|feed|pdf|raw))$ [NC]

# and the requested path and file doesn't directly match a physical file

RewriteCond %{REQUEST_FILENAME} !-f

# and the requested path and file doesn't directly match a physical folder

RewriteCond %{REQUEST_FILENAME} !-d

# internally rewrite the request to the index.php script

RewriteRule .* index.php [L]

#

########## End - Joomla! core SEF Section

order deny,allow

deny from all

У меня на сайт перестал Яндекс ругаться, но редирект остался и не могу его отыскать.

Господа, сайт после взлома надо как следует чистить, лучше силами специалиста по этому делу. Сами вы и половину хакерских закладок не обнаружите.

Вот логи скайпа - недавно чистил после взлома сайты одной фирмы. http://marinemotors.org/vzlom1.TXT У кого хватит терпения дочитать до конца, поймете, что там не так все просто.

В интересах следствия все доменные имена, а также имена людей - участников событий изменены.