Скрытые ссылки, как найти источник на сайте?

[sm915]

Господа, нужна помощь, бьюсь уже второй день, не могу найти источник генератор внешних ссылок.
Недавно на сайте стали появляться страницы типа:
MontajLift.ru/phils-rayban-web-sybsdp.htm
MontajLift.ru/rayban-DKSH-list-yddpue.htm
и т.д.
При заходе на страницу, происходит переадресация на сайт shiningsunglasses точка co.
Поиск по файлам ничего не дал, проблему временно решил запретом на индексацию всех файлов с окончанием на .htm, так как левые ссылки только с таким окончанием, все нужные с окончанием .html.
Какие есть работающие методы которые помогут найти заразу которая генерирует эти страницы?
Для просмотра ссылки Войди или Зарегистрируйся.

а в phpMyAdmin поиск по содержимому бд подстроки "MontajLift.ru"?
я как то качал с варезного портала модули. с помощью grep'а нашел место, где в коде была ссылка на текстовый файл, лежащий на левом домене aaa.ru в котором в свою очередь были ссылки на домен bbb.ru.
само это место с левым текстовиком нашел с помощью поиска по файлам.
ссылки не всегда лежат в коде явно

 

[dimon7772]

а если подключиться по ssh и в корне сайта набрать команду поиска подстроки по содержимому файлов типа grep -iRI "MontajLift.ru" ./
что выдает?

Таким я не разумею пользоваться, я воспользовался предыдущими советами, установил файервол, проблема временно купирована.

 

[sm915]

"При заходе на страницу, происходит переадресация на сайт shiningsunglasses точка co.
Поиск по файлам ничего не дал, "
как же ты искал тогда по файлам. поиск по содержимому файлов всегда так делается: качается например putty для подключения по ssh. логин - пароль для ssh обычно совпадают с логином-паролем от ftp. потом ls смотрим где находимся. с помощью cd переходим в папку с джумлой. далее смотрим на вывод grep -iRI "text" ./
где "text" это подозрительная ссылка или место где появляются такие ссылки.
ну а потом удаляем из варезных файлов ненужное .

 

[dimon7772]

как же ты искал тогда по файлам. поиск по содержимому файлов.

Скачал на комп и тоталл коммандером искал по файлам.

 

[mordovia]

Кто же тебе говноссылки выложит в открытую? Их заворачивают в base64. Вот и ищи по значению base64

 

[snail]

Взламывают один сайт с переодичностью в неделю, ставят левые ссылки, в корне появляются файлы типа w22676884n.php, по логам переберали доступ к дминке, и смены прав на критические файлы на 444 ничего не помогает. Подозрения что где то есть шелл. Но как узнать где именно, файлов много, вручную смотреть задолбаешься

 

[Messir]

Взламывают один сайт с переодичностью в неделю, ставят левые ссылки, в корне появляются файлы типа w22676884n.php, по логам переберали доступ к дминке, и смены прав на критические файлы на 444 ничего не помогает. Подозрения что где то есть шелл. Но как узнать где именно, файлов много, вручную смотреть задолбаешься

скачивать полную копию на комп, прогонять айболитом и просматривать файлы, на которые укажет айболит...

 

[kuschenko]

У меня вообще беда была. Подгружались страницы из txt файлов. И если зайти на сайт допустим domain.ru/shop то на моем сайте появлялся совершенно другой магазин. Нашел беду в файле .htacces
загрузил стандартный почистил все и норм. Чаще всего у меня залетают файлы в libraries и plugins.

 

[snail]

Messir антивирус шелы не видит и на них не ругается, сегодня опять захожу, на хостинге новые файлы и папки Fariduddin.php появился. Так же архивы в корне и распаковыванные из архивов папки а там сайт с сылками на виагру форекс и тд. Пароли все поменяны х.з. откуда ломятся

 

[GeorgeZ]

Messir антивирус шелы не видит и на них не ругается, сегодня опять захожу, на хостинге новые файлы и папки Fariduddin.php появился. Так же архивы в корне и распаковыванные из архивов папки а там сайт с сылками на виагру форекс и тд. Пароли все поменяны х.з. откуда ломятся

а движок до последней версии обновил? сайт лежит на отдельном хостинге или с ним еще несколько сайтов есть?