Переброс на GigabitFiles - Безопасность сайтов на Joomla

Такая вот дебильная проблема!
Если набрать в адресной строке: frolovo-portal.ru - то переход на сайт осуществляется безо всяких проблем, но при поиске в яндексе, типа "Портал города Фролово" происходит переброс на сайт GigaFiles.
Что это может быть? Модуль с вредоносным кодом или что-то другое?

Вредоносный код либо .htaccess либо в файлах.

Вредоносный код либо .htaccess либо в файлах.

Проверил HTML шаблона, там ничего подобного на редирект нет.
Как мог код добраться до htaccess, если файл лежит на хостинге?

через взлом ftp (угон пароля/логина или прочее), через уязвимость скриптов или сервера.

Выход? Переустановка движка?
А можно ли каким-то образом просканировать что ли Joomla 1.5, на предмет выяснения расположения ссылки?

Выход один. Найти что это делает и устранить. .htaccess покажите. Сканеры в подписи "Собираю логи взломов" (отдельное спасибо авторам сканеров)

##
# @version $Id: htaccess.txt 10492 2008-07-02 06:38:28Z ircmaxell $
# @package Joomla
# @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##


#####################################################
#  READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
#
#####################################################

##  Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

#
#  mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

#  Uncomment following line if your webserver's URL
#  is not directly related to physical file paths.
#  Update Your Joomla! Directory (just / for root)

# RewriteBase /


########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$  [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section

Я конечно понимаю, что перхоть не лечат отрубанием головы, но вот ума не приложу, что делать с этой проблемой

В .htaccess вроде чисто. Если надо, я могу для профилактики бесплатно глянуть.

Если я сюда скину список модулей сайта, возможно ли будет определить потенциально опасный? Ведь сайт же вполне работал без внедрения лишних кодов, а менялись только модули

Смотреть файлы .js в конце и наличие в файлах .php base64_decode,в начале

Смотреть файлы .js в конце и наличие в файлах .php base64_decode,в начале

Т.е. в корневой директории высматривать все файлы .js и искать в них ссылку на страницу переброса?

Т.е. в корневой директории высматривать все файлы .js и искать в них ссылку на страницу переброса?

В корне сайта -нет.Во всех файлах .js ,начиная с шаблона,аналогично и .php

Все ясно, сейчас попробую. Но как я писал раньше, код страницы был проверен в первую очередь и в нем ничего нет

код страницы был проверен в первую очередь и в нем ничего нет

Ну если антивирус молчит,то да .js могут быть чистые.
Но код  eval(base64_decode интерпретируется на сервере,и в страницу не загружается.

Ну если антивирус молчит,то да .js могут быть чистые.
Но код  eval(base64_decode интерпретируется на сервере,и в страницу не загружается.

Что в этом случае надо делать? Если он интерпретируется на сервере, значит стоит обратиться к поддержке хостинга?

А хостер при чем? Если не хочешь искать вредоносный код,начни с простого-
перезалей файлы Joomla!

Ну короче говоря с чего я и начал: переустановка движка

Ну короче говоря с чего я и начал: переустановка движка

И потерять сайт? А почему не восстановиться из бекапа?
Просто перезалить файлы с заменой существующих ,без установки по новой,эт не -заново установка.

Можно подробнее? Этот вариант был бы оптимальным

наличие в файлах .php base64_decode,в начале

На личном опыте: base64_decode(" в .php файле может быть не в его начале, а где угодно. Причём в одном файле строка может быть включена много раз. А логи взлома, если есть, было бы увидеть весьма любопытно.

На личном опыте: base64_decode(" в .php файле может быть не в его начале, а где угодно. Причём в одном файле строка может быть включена много раз.

Ну и?