Ao visualizar a origem da sua página, há algum código na parte inferior que não parece que você colocou lá:

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body> 
<!-- InstanceEnd --></html> 
<script>check_content()</script>check_content()</script>

Ao usar o violinista e acessar seu site através do google, posso ver que ele vai para o seu domínio primeiro e, em seguida, é redirecionado antes que toda a sua página seja carregada.

Verifique seu código php, eles provavelmente colocaram algum código de redirecionamento em sua página.

Na verdade, eu não segui o seu link (não desejo encontrar uma exploração de dia zero), mas o que acontece quando um servidor é hackeado é que ele é colocado em qualquer arquivo PHP para verificar o cabeçalho do referenciador e redirecionar se a visita for de um mecanismo de pesquisa ou se for de qualquer lugar e não do site atual.

Isso é feito para impedir que o proprietário do site perceba que o hack está em vigor, já que você provavelmente visitará o site diretamente, em vez de encontrá-lo por meio de um mecanismo de pesquisa.

Em primeiro lugar, esta é uma questão de programação , não tenho absolutamente nenhuma idéia do que isso está fazendo no Serverfault.

Existe uma vulnerabilidade na sua aplicação web php e você precisa encontrá-la e corrigi-la. Primeiro eu iria embora e certifique-se de que todas as suas bibliotecas PHP estão atualizadas. Uma vulnerabilidade no phpmailer ou no smarty pode permitir que um hacker invada seu site.

Em seguida, eu digitalizaria seu site com algo como Acunetix ($) ou NTOSpider ($$$). Uma boa alternativa de código aberto é o wapiti e w3af . Esses scanners podem encontrar vulnerabilidades, como uso indevido de eval() , o que pode levar a esse tipo de ataque.

Em seguida, você deve bloquear o php usando o phpsecinfo , certifique-se de display_errors=off . Se você tem um backend MySQL, certifique-se de desabilitar file_priv (privilégios de arquivo) para a conta MySQL usada pelo PHP.

Aqui estão alguns bons recursos para escrever código PHP seguro:

link

link

Além disso, evite o FTP como a praga, existem vários worms espalhando-se por cheirar sua máquina local para logins de FTP e infectar seu site. Também verifique se você está executando um antivírus em todas as máquinas com acesso ao servidor, mesmo que seja apenas um gratuito como o AVG.