Ele apenas redireciona as pessoas com um referenciador do Google (possivelmente também outros mecanismos de pesquisa). Se eu tirar a parte de referência do curl, recupero uma página normal.
curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>
O conteúdo da resposta (após os cabeçalhos) sugere que este é um redirecionamento gerado pelo Apache e não um gerado pelo PHP. A maioria das pessoas não pensa em enviar um corpo ao usar a função header () do PHP para redirecionamentos e esse texto corresponde exatamente com o que um corpo gerado pelo Apache teria.
Para mim, isso significa que não é um arquivo PHP e não é um javascript ou meta redirect armazenado em seu banco de dados.
Com base nisso, sugiro procurar em arquivos de configuração do Apache. Tudo no / etc / apache (ou / etc / httpd deoending na sua distro) precisa ser verificado. Não precisa ser um RewriteRule ou mesmo um Redirect. Pode ser uma diretiva de Inclusão extra que carrega o redirecionamento de outro arquivo em outro lugar. Pode até ser uma diretiva que altera o que os arquivos .htaccess são chamados.
Um comando que pode ajudá-lo a encontrar é grep -r "sweepstakesandcontestsinfo" /etc/apache
.
Você não mencionou como você verificou que não é um redirecionamento de .htaccess. O .htaccess é a opção mais provável, pois geralmente não requer privilégios especiais para escrever um deles dentro da raiz do documento.
Se ainda não o fez, execute isto: find /var/www -name .htaccess
, mas altere "/ var / www" para a raiz do seu documento.
Se isso não encontrar nada, tente o mesmo comando, mas com / como o primeiro argumento. Obviamente, você terá que verificar todas as linhas em todos os arquivos .htaccess encontrados.
Se você achar que alguns dos seus arquivos de configuração do Apache são alterados, este atacante tem acesso root em sua caixa. A melhor resposta nesse momento é colocá-lo offline e iniciar uma limpeza adequada. Há muitas perguntas aqui e segurança.SE sobre como se recuperar de um compromisso depois de esclarecer o problema imediato (que é o redirecionamento).