Привет.
Есть простенький сайт, который на данный момент пока "лежит" на хосте друга. Сайтов у друга много. В начале года был взлом и через пару дней все поправили. Теперь я заметил (очень рано, неправда ли?), что если сайт найти в гугле, то он не открывается а передрессирует на minkof.sellclassics.com. Если же переходить по прямой ссылке, то никаких проблем. Почитал немного и нашел якобы решение - http://www.raymond.cc/blog/automated-fix-wordpress-base64_decode-injection/, но там речь про Wordpress, а у меня ImageCMS.
Как можно от этой проблемы избавится? К php у меня на данный момент нет доступа. Приму меры через неделю.
Спасибо.

В коде инъекция. Может быть где угодно. В зависимости от структуры сайта. Если доступа к php нет, то ничего нельзя сделать.

Доступ к php будет как друг домой вернется. Значит, в принципе, только удалить часть кода (как по ссылке выше)!?
И как можно предохранится, что бы такого больше не было?

Надо знать, что удалять и где удалять, иначе сайт слетит.

думаю тебе нужен доступ по ftp, а не php. посмотри в первую очередь .htaccess, думаю редирект там сделан

Ну, что бы получить доступ к php файлам нужен конечно доступ к ftp.

Спасибо, посмотрим.

Инекция делается в пхп коде, там её логко спрятать, но сама инъекция не главное. Главное другое, каким образом она туда попала. Даже если вы её найдёте и сотрёте, на следущий день она может появится в другом месте кода.

Можно отсюда подробней? Я думал, что один раз удалить хватит.

Чтобы это сделать плохой дядя, или тётя должны иметь доступ на ваш сервер, а если они его получили значит врядли ограничились только переадресацией. На вашем сервере наверняка оставлен бэкдор и наверняка не в одном месте. С его помощью можно много чего натворить и не только на вашем сайте.

Ясно. Спасибо.
Сервер не мой, а друга. После того, как он вернется, я все равно хочу менять домен и переезжать на другой "свой" сервер (alfahosting). Если перед тем, как загружать все файлы на новый сервер почистить php, то проблем в будущем быть больше не должно!?

А вы уверены, что всё почистите?

кроме дыр в коде возможно заражение через фтп - вирус может получить пароль, дальше дело техники. так что неплохо было бы для начала проверить комп друга на вирусы и если найдется, то поменять пароли. если доступ получен через дыры в пхп, то нужно искать уязвимости. тут тебе compman поможет, он пользуется Acunetix сканером если я не ошибаюсь )

это не делают плохие дяди или тёти, это делают скрипты - роботы, через дырки в сайтах

Нет, не уверен.
Получил доступ, .htaccess чистый, нашел код в index.php сразу в начале. Удалил и пока работает.

Тогда проще поставить другой сайт, если уверености нет.

Бэкдор делается таким образом, что вы его сможете обнаружить, если действительно в этом хорошо разбираетесь. Вообще нужно всегда делать бэкап какраз на такой случай. Его я так понимаю нет, значит ставьте новый сайт.

Backup'ы есть. Просто, так как я только вчера заметил про редирект, то в том же актуальном бэкапе, как я понимаю, и файл тоже инфицированный. Смысла тогда не вижу.

Даже спорить не буду. Вот вернется друг, посмотрим вместе. Он в этом больше разбирается.
Спасибо всем за помощь. Я еще отпишусь, что вышло.

согласен. скорее причина может быть и более тривиальной. типа:
- user с очень простым паролем
- какая нить management Software самого сервера. я к примеру заметил что есть админка которая по ходу может быть проблемой. патч последний декабрь 2011 а вот в феврале был опубликован новый эксплоит. (за подробностями в личку). закройте хотя бы доступ через htaccess
- может быть и proftpd снова взломан. хотя, как видно, на сервере довольно новая софтина.
вариантов много. сканировать, тестировать нужно. а так есть софтина для серверов, которая распознает попытки и за ранее блокирует доступ.
--- update
советую пробежаться по странице предварительно включив tramper data модуль для лисы.
советую вообще все существующие админки htaccess-ом прикрыть.
так же проверьте ваш cms и остальную веб софтину на наличие возможных эксплоитов. к примеру при помощи exploit db