Подцепил вирус - редирект, никак не могу найти. Помогите!

Дайте адрес вашего сайта

Чаще всего:
1. Языки системы.
2. Файл конфигурации.
3. index.php
4. .htaccess
5. шаблон/login.tpl
6. шаблон/main.tpl
7. smartphone/main.tpl | login.tpl

Совет: обратитесь к специалистам, т.к. здесь нужна комплексная профилактика сайта, а так же наблюдение за ним в течении 3 месяцев. Дыры в два счета редко удается найти, и приходиться "брать на живца".

RedRat,
Проверил эти файлы, но там ничего нет подозрительного.

Забыл сказать что примерно месяц назад, заметил этот вирус, который был запущен в систему через дыру в загрузке аватара (уже профиксил), тогда во многих файлах, в.т.ч. htaccess, шаблона и из папки /engine/... поудалял куски кода, в которых были ссылки на непонятные сайты, а так же код типа: eval(base64_decode... тогда с андроида на сайт нельзя было попасть, теперь работает, но похоже что то, что есть сегодня, это остатки того самого вируса.

Кстати обнаружился еще один редирект на левый сайт, выглядит он так: adcash.com/script/pop_packcpm.php?k=53b93b89bba96305607.911573&h=3e1727c6705508840168ac31fba22b4bf5ac9571&id=0&ban=305607&r=232685&ref=h&data=&subid=&iid=35616704021404648329850022254&new=1&dx=%3D%3DwD

вы можете подумать что это попандер я поставил, или рекламу от тизерки, но на сайте никакой другой рекламы кроме маркетгида я никогда не ставил, маркетгид отключил для эксперимента, а исходящие ссылки в статистике показывает все-равно, значит где-то живет вирус

меняй пароли ftp

rocksmart,
та, это что, уже давно поменял, права везде позакрывал

ДЛЕ дырявый. Тем более до 10 версии включительно. Пароли меняй не меняй, толку ноль.

Еще вариант где прячется: База данных, таблица новостей dle_post. Обычно приписывают к новости код, вида JS.

Скачайте сканер:
http://admin-club.ru/scripts/573-simple-scaner-last-modificied-files.html

1. И запустите. Он выдаст последние измененные файлы. Если код дописывает робот, то он непременно наследит и вряд ли позаботиться о том что бы замести следы. Поэтому, вероятно, что "паучки" будут в топе, по дате изменения файла.

2. Скачайте, если сервер удаленный, сайт полностью на локальный компьютер. В Total Commander, запустите поиск по файлам "*.php", с содержанием "eval(b". К тому же, любой локальный антивирус засекает вредоносный веб-код и сигнализирует об этом. Даже Windows Defender, не говоря уже о Касперском.

3. "Заморозьте" сайт, наложите права 666 (запрет на любую запись) на все файлы и папки сайта. Но только после сканирования по последним измененным файлам.

4. Сканирование файлов делайте каждые 4-6 часов.


У вас VPS или снимаете хостинг?
Адрес вашего сайта (если 18+, то в ПМ)?
Установлены ли какие-либо модули, если да, то какие точно?

Посмотри в Шаблоне. Такое же дело ловил. Это может быть подставленный шаблон новый (у меня был smartphone) и назначенный по умолчанию. Я просто выбрал свой предыдущий шаблон из попытался максимально закрыть образовавшуюся дыру.

та же фигня на сайте
те же переходы на сайт этот. хз че делать