Взлом сайта

ссылка - есть сайт совсем новенький, не успели доделать его уже взломали.
Проблема в чем. При вводе в адресную строку сайт корректно открывается, при наборе в гугле и яндексе(в поиске) идет переадресация на целый спектр сайтов по-очереди. Пароли поменяла. Сайт на джумле 1.7
Вчера нашла код в index в КОРНЕВОМ КАТАЛОГИ, ПОИСКИ ПО ДРУГИМ ФАЙЛАМ И ПАПКАМ НИЧЕГО НЕ ДАЛИ. Перезалила index в корневом каталоге и от шаблона. Все тоже самое... Что делать?
Добавлю .htaccess проверила ничего страшного там не нашла.

Помимо файла htaccess следует произвести поиск в php файлах по следующим вхождениям:
— eval
— base64_decode
— Location
— по адресу редиректа

В js файлах так же следует проверить наличие редиректа. Дата редактирования файла не обязательно должна отличаться от остальных, т.к. изменить ее после редактирования не составляет труда.
А вообще лучше обратиться к специалисту для удаления вредоносного кода и поиска вебшелов на вашем сервере.

С отключенным яваскрипт все нормально. С включенным - переадресация.

nikerina, Порой код хитро запрятан, смотря кто ломал.
Если сами не сможете, послушайте совета Hungry_Hunter.
А потом установите - ссылка

Создавайте проект и ищите специалиста который почистит

А сколько это может стоить на рынке фриланса?

Давайте рассуждать логически. Если с отключенным в браузере яваскриптом редикт не происходит, значит, надо просмотреть все яваскрипты на сайте на предмет наличия посторонних включений. Список подозрительных слов вам перечислил Hungry_Hunter. Искать вхождения удобнее всего, имея ssh-доступ. Если у вас его нет, создайте php файл в корне сайта и напишите там

$s = <<<END

find . -name "*.js" -print | xargs grep "location" > ./find.txt

END;

$s = shell_exec($s);

Запустите скрипт, обратившись к нему по http, в корне сайта создатся текстовый файл с результатами поиска. В результатах будут все файлы сайта с расширением js, в которых встречается слово location.
Просмотрите их все. Затем также с .php и другими ключевыми словами.

Не грех посмотреть и даты модификации

$s = <<<END

find . -mtime -1 -ls | awk '{print $8,$9,$10,$11}' > find.txt

END;

$s = shell_exec($s);

Здесь число 1 в строке -mtime -1 говорит "вывести все файлы, измененных за 1 последний день: ссылка

Скорее всего, таким образом вы все найдете. Другое дело, что если заражение произошло, то нади искать еще и причину: уязвимость в скриптах или утечка паролей.

Цитата ("nikerina"):

А сколько это может стоить на рынке фриланса?

По разному. Я к примеру беру за чистку сайта от вредоносного кода и вебшелов 1000 руб.

Цитата ("Vlad_06"):

Скорее всего, таким образом вы все найдете.

Не факт, редиректы обычно усердно зашифровывают, а даты изменения файлов подтирают за собой.

Цитата ("Vlad_06"):

Другое дело, что если заражение произошло, то нади искать еще и причину: уязвимость в скриптах или утечка паролей.

А вот это да, но это уже дорогого стоит...

Совет более кардинальный, бегите от Джумлы

regado, К чему бежать? Сломать все можно. Вопрос времени, цены и интереса

У меня другой совет. Бегите от интернета, от компьютеров

Bob301, в лес...

AlexsimA, бежать к более профессиональным системам. Стата взломов CMS ссылка

Это из разряда на какой машине ездить. Можно ВАЗ тщательно и часто ремонтировать, можно что то другое и реже. Да согласен вопрос вечный, но для себя решил давно, джумла ни-ни.

Цитата ("AlexsimA"):

regado, К чему бежать? Сломать все можно. Вопрос времени, цены и интереса

В том и дело, что тот же modx ломать школьник не возьмется. А джумлу ломают по мануалу степ бай степ.

regado, При желании сломать можно абсолютно все - банки ломают и сайты гос учереждений...

Цитата ("regado"):

]http://safesearch.ya.ru/replies.xml?item_no=120

А где остальные движки-то? Имеют неприкосновенность? Статистика очень +/-. Это ИМХО.

Цитата ("AlexsimA"):

regado, При желании сломать можно абсолютно все - банки ломают и сайты гос учереждений...

Так так оно так, но менее популярные движки меньше взламываются. Там тоже дыр хватает, вот только о них меньше знают чем во всяких джумлах ,ворпрессах. Очень плохо, что в сторонних компонентах эти дыры так плохо закрываются.

AlexsimA, мы ведь не говорим о несокрушимости кода или доступа. Дискуссия переросла в область насколько дырява джумла. Так вот она дырява как дуршлаг. И способствует этому как правило не только ее популярность, а отсюда и интерес к ней со стороны взломщиков, но и коряво написанные плагины, в которых как раз дыр много. И устранять их редко кто стремится.
Если говорить о самописках, так с ними самое интересное в том, что их ломать либо целенаправлено на 1 проект лезут, либо интереса нет. Так как ту же джумлу можно скачать, установить и изучить изнутри. А самописка, на правильно настроенном сервере, не особо то выдает свое строение извне.
Особой проблемой джумлы я вижу ситуации, когда надо обновлять ядро, но плагин с новым ядром не будет работать, а при обновлении плагина (допустим некоторых версий виртуемарт) происходит утеря данных (инфы о товарах). Поэтому зачем уходить в сторону, что все что сделал человек можно и сломать. Речь ведь о практическом применении CMS, и я на основании своего опыта работы с джумла крайне советую не использовать ее.

Цитата ("Velerbu"):

Цитата ("regado"):

]http://safesearch.ya.ru/replies.xml?item_no=120

А где остальные движки-то? Имеют неприкосновенность? Статистика очень +/-. Это ИМХО.

Конечно же это не истина статистики, но смею предположить что остальные движки находятся в секторе "Остальные"

regado, C этим согласна. Особенно если ставить что - попало на Джумла. То что доступно - легко изучить. Это относится и к другим CMS, которые можно скачать. Многое зависит и от хостинга и еще от многих факторов. Порой даже от того что пишут логин admin и пароль 1234