Jump to content
Sign in to follow this  
krashman

вирус плодит htaccess

Recommended Posts

Здравствуйте. Столкнулся с такой проблемой, что периодичесски не могу попасть на сайт в связи с блокировкой  по видимомому IP адреса.

 

Зашёл в корень сайта и вижу, что там огромных размеров лежит файл .htaccess с кучей строк:

RewriteEngine on
#operator
RewriteCond %{REQUEST_FILENAME} !message_for_oss.pdf
RewriteCond %{REMOTE_ADDR} ^109.106.192 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.193 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.194 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.195 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.196 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.197 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.198 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.199 [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[2-5] [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[2-3] [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[4-5] [OR]
RewriteCond %{REMOTE_ADDR} ^193.201.(?:22[8-9]|23[0-1]) [OR]
RewriteCond %{REMOTE_ADDR} ^193.201.231.2 [OR]
RewriteCond %{REMOTE_ADDR} ^193.46.207 [OR]

и т.д.

 

помимо того, это не едиснтвенный .htaccess, ещё такие же нашёл в /admin , /vqmod , /download

 

И вот меня интересует:

1. что делать в этой ситуации? уже стёр все эти файлы, но что-то мне кажется этого недостаточно.

2. как подобная ситуация могла произойти в принципе на чистой системе? я лишь купил шаблон на templatemonster, поставил версию 1.5.6.4 версию, никаких лишних модулей с варезов и вообще никаких модулей, которые ранее не проверял не ставил.

Share this post


Link to post
Share on other sites

а полный?..

другие движки рядом есть?

логи доступа по ftp и в панель управления хостингом?

провериться на шеллы?

Share this post


Link to post
Share on other sites

а полный?..

другие движки рядом есть?

логи доступа по ftp и в панель управления хостингом?

провериться на шеллы?

 

прикрепил этот файл

вчера удалил, сегодня опять создались в тех же папках: корень, admin, download, vqmod

 

Попросил хостера проверить сайт на вирусы, вот такой отчёт

вспомнил, что ставил ckeditor, да. но скачивал с официального сайта

.htaccess.zip

Share this post


Link to post
Share on other sites

какой смешной оказывается этот айболит. Нашел кучу кода, который вовсе не вирус, а сам вирус не нашел вообще.

Share this post


Link to post
Share on other sites

Не плохой он этот антивирусник.Только проверять по-любому нужно локально и как раз в режиме "параноидальный".Хотя  и безобидных файлов он найдёт ещё больше.....

Share this post


Link to post
Share on other sites

Если с башем не в ладах, то выкачивайте сайт на локальный компьютер с сохранением дат модификаций файлов. Для поиска зловреда используйте.

  • Clamav Scanner
  • ai-bolit.php
  • PHP Shell Detector
  • Yandex Manul
  • И прямые руки

Если найдете зараженный файл, то смотрите его дату. Ищите файлы с той же датой/размером, смотрите их. Делайте так до тех пор, пока все не очистите.

 

Удаляйте все файлы с сервера и заливайте те, что копировали на комп и очищали. Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. Далее остается ждать последующего заражения, после того как повторное заражение произошло (если произошло) по логам будет видно откуда. Снова заливайте чистые файлы, закрывайте обнаруженную дыру и делайте так до тех пор, пока заражения не прекратятся.

 

Обычно взломанные сайты используют для рассылки писем или перехвата мобильного траффика, так что такой подход при очистке от зараженного кода вполне оправдан. 

  • +1 1

Share this post


Link to post
Share on other sites

Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. 

 

подскажите, пожалуйста, где смотреть эти логи???

Share this post


Link to post
Share on other sites

подскажите, пожалуйста, где смотреть эти логи???

 

Имеются ввиду access логи сервера. Либо они доступны по FTP, либо из панели управления хостингом. Чаще всего находятся рядом с логом ошибок (не путать с логом ошибок OpenCart, это отдельные логи). Если их нигде нет, то запросите их у тех. поддержки за тот период, когда произошло вторжение.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.