вирус плодит htaccess

[krashman]

Здравствуйте. Столкнулся с такой проблемой, что периодичесски не могу попасть на сайт в связи с блокировкой  по видимомому IP адреса.

 

Зашёл в корень сайта и вижу, что там огромных размеров лежит файл .htaccess с кучей строк:

RewriteEngine on
#operator
RewriteCond %{REQUEST_FILENAME} !message_for_oss.pdf
RewriteCond %{REMOTE_ADDR} ^109.106.192 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.193 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.194 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.195 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.196 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.197 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.198 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.199 [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[2-5] [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[2-3] [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[4-5] [OR]
RewriteCond %{REMOTE_ADDR} ^193.201.(?:22[8-9]|23[0-1]) [OR]
RewriteCond %{REMOTE_ADDR} ^193.201.231.2 [OR]
RewriteCond %{REMOTE_ADDR} ^193.46.207 [OR]

и т.д.

 

помимо того, это не едиснтвенный .htaccess, ещё такие же нашёл в /admin , /vqmod , /download

 

И вот меня интересует:

1. что делать в этой ситуации? уже стёр все эти файлы, но что-то мне кажется этого недостаточно.

2. как подобная ситуация могла произойти в принципе на чистой системе? я лишь купил шаблон на templatemonster, поставил версию 1.5.6.4 версию, никаких лишних модулей с варезов и вообще никаких модулей, которые ранее не проверял не ставил.

[afwollis]

а полный?..

другие движки рядом есть?

логи доступа по ftp и в панель управления хостингом?

провериться на шеллы?

[AlexDW]

для информации

[krashman]

а полный?..

другие движки рядом есть?

логи доступа по ftp и в панель управления хостингом?

провериться на шеллы?

 

прикрепил этот файл

вчера удалил, сегодня опять создались в тех же папках: корень, admin, download, vqmod

 

Попросил хостера проверить сайт на вирусы, вот такой отчёт

вспомнил, что ставил ckeditor, да. но скачивал с официального сайта

.htaccess.zip

[Tom]

Не плохой он этот антивирусник.Только проверять по-любому нужно локально и как раз в режиме "параноидальный".Хотя  и безобидных файлов он найдёт ещё больше.....

[halfhope]

Если с башем не в ладах, то выкачивайте сайт на локальный компьютер с сохранением дат модификаций файлов. Для поиска зловреда используйте.

• Clamav Scanner
• ai-bolit.php
• PHP Shell Detector
• Yandex Manul
• И прямые руки

Если найдете зараженный файл, то смотрите его дату. Ищите файлы с той же датой/размером, смотрите их. Делайте так до тех пор, пока все не очистите.

 

Удаляйте все файлы с сервера и заливайте те, что копировали на комп и очищали. Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. Далее остается ждать последующего заражения, после того как повторное заражение произошло (если произошло) по логам будет видно откуда. Снова заливайте чистые файлы, закрывайте обнаруженную дыру и делайте так до тех пор, пока заражения не прекратятся.

 

Обычно взломанные сайты используют для рассылки писем или перехвата мобильного траффика, так что такой подход при очистке от зараженного кода вполне оправдан. 

[hitball]

Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. 

 

подскажите, пожалуйста, где смотреть эти логи???

[halfhope]

подскажите, пожалуйста, где смотреть эти логи???

 

Имеются ввиду access логи сервера. Либо они доступны по FTP, либо из панели управления хостингом. Чаще всего находятся рядом с логом ошибок (не путать с логом ошибок OpenCart, это отдельные логи). Если их нигде нет, то запросите их у тех. поддержки за тот период, когда произошло вторжение.