krashman Опубліковано: 7 травня 2015 Share Опубліковано: 7 травня 2015 Здравствуйте. Столкнулся с такой проблемой, что периодичесски не могу попасть на сайт в связи с блокировкой по видимомому IP адреса. Зашёл в корень сайта и вижу, что там огромных размеров лежит файл .htaccess с кучей строк: RewriteEngine on #operator RewriteCond %{REQUEST_FILENAME} !message_for_oss.pdf RewriteCond %{REMOTE_ADDR} ^109.106.192 [OR] RewriteCond %{REMOTE_ADDR} ^109.106.193 [OR] RewriteCond %{REMOTE_ADDR} ^109.106.194 [OR] RewriteCond %{REMOTE_ADDR} ^109.106.195 [OR] RewriteCond %{REMOTE_ADDR} ^109.106.196 [OR] RewriteCond %{REMOTE_ADDR} ^109.106.197 [OR] RewriteCond %{REMOTE_ADDR} ^109.106.198 [OR] RewriteCond %{REMOTE_ADDR} ^109.106.199 [OR] RewriteCond %{REMOTE_ADDR} ^185.3.3[2-5] [OR] RewriteCond %{REMOTE_ADDR} ^185.3.3[2-3] [OR] RewriteCond %{REMOTE_ADDR} ^185.3.3[4-5] [OR] RewriteCond %{REMOTE_ADDR} ^193.201.(?:22[8-9]|23[0-1]) [OR] RewriteCond %{REMOTE_ADDR} ^193.201.231.2 [OR] RewriteCond %{REMOTE_ADDR} ^193.46.207 [OR] и т.д. помимо того, это не едиснтвенный .htaccess, ещё такие же нашёл в /admin , /vqmod , /download И вот меня интересует: 1. что делать в этой ситуации? уже стёр все эти файлы, но что-то мне кажется этого недостаточно. 2. как подобная ситуация могла произойти в принципе на чистой системе? я лишь купил шаблон на templatemonster, поставил версию 1.5.6.4 версию, никаких лишних модулей с варезов и вообще никаких модулей, которые ранее не проверял не ставил. Надіслати Поділитися на інших сайтах More sharing options...
afwollis Опубліковано: 8 травня 2015 Share Опубліковано: 8 травня 2015 а полный?.. другие движки рядом есть? логи доступа по ftp и в панель управления хостингом? провериться на шеллы? Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 8 травня 2015 Share Опубліковано: 8 травня 2015 для информации Надіслати Поділитися на інших сайтах More sharing options... krashman Опубліковано: 8 травня 2015 Автор Share Опубліковано: 8 травня 2015 а полный?.. другие движки рядом есть? логи доступа по ftp и в панель управления хостингом? провериться на шеллы? прикрепил этот файл вчера удалил, сегодня опять создались в тех же папках: корень, admin, download, vqmod Попросил хостера проверить сайт на вирусы, вот такой отчёт вспомнил, что ставил ckeditor, да. но скачивал с официального сайта .htaccess.zip Надіслати Поділитися на інших сайтах More sharing options... Tom Опубліковано: 8 травня 2015 Share Опубліковано: 8 травня 2015 Не плохой он этот антивирусник.Только проверять по-любому нужно локально и как раз в режиме "параноидальный".Хотя и безобидных файлов он найдёт ещё больше..... Надіслати Поділитися на інших сайтах More sharing options... halfhope Опубліковано: 9 травня 2015 Share Опубліковано: 9 травня 2015 Если с башем не в ладах, то выкачивайте сайт на локальный компьютер с сохранением дат модификаций файлов. Для поиска зловреда используйте. Clamav Scanner ai-bolit.php PHP Shell Detector Yandex Manul И прямые руки Если найдете зараженный файл, то смотрите его дату. Ищите файлы с той же датой/размером, смотрите их. Делайте так до тех пор, пока все не очистите. Удаляйте все файлы с сервера и заливайте те, что копировали на комп и очищали. Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. Далее остается ждать последующего заражения, после того как повторное заражение произошло (если произошло) по логам будет видно откуда. Снова заливайте чистые файлы, закрывайте обнаруженную дыру и делайте так до тех пор, пока заражения не прекратятся. Обычно взломанные сайты используют для рассылки писем или перехвата мобильного траффика, так что такой подход при очистке от зараженного кода вполне оправдан. 1 Надіслати Поділитися на інших сайтах More sharing options... hitball Опубліковано: 16 травня 2015 Share Опубліковано: 16 травня 2015 Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. подскажите, пожалуйста, где смотреть эти логи??? Надіслати Поділитися на інших сайтах More sharing options... halfhope Опубліковано: 16 травня 2015 Share Опубліковано: 16 травня 2015 подскажите, пожалуйста, где смотреть эти логи??? Имеются ввиду access логи сервера. Либо они доступны по FTP, либо из панели управления хостингом. Чаще всего находятся рядом с логом ошибок (не путать с логом ошибок OpenCart, это отдельные логи). Если их нигде нет, то запросите их у тех. поддержки за тот период, когда произошло вторжение. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки вирус плодит htaccess Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
AlexDW Опубліковано: 8 травня 2015 Share Опубліковано: 8 травня 2015 для информации Надіслати Поділитися на інших сайтах More sharing options... krashman Опубліковано: 8 травня 2015 Автор Share Опубліковано: 8 травня 2015 а полный?.. другие движки рядом есть? логи доступа по ftp и в панель управления хостингом? провериться на шеллы? прикрепил этот файл вчера удалил, сегодня опять создались в тех же папках: корень, admin, download, vqmod Попросил хостера проверить сайт на вирусы, вот такой отчёт вспомнил, что ставил ckeditor, да. но скачивал с официального сайта .htaccess.zip Надіслати Поділитися на інших сайтах More sharing options... Tom Опубліковано: 8 травня 2015 Share Опубліковано: 8 травня 2015 Не плохой он этот антивирусник.Только проверять по-любому нужно локально и как раз в режиме "параноидальный".Хотя и безобидных файлов он найдёт ещё больше..... Надіслати Поділитися на інших сайтах More sharing options... halfhope Опубліковано: 9 травня 2015 Share Опубліковано: 9 травня 2015 Если с башем не в ладах, то выкачивайте сайт на локальный компьютер с сохранением дат модификаций файлов. Для поиска зловреда используйте. Clamav Scanner ai-bolit.php PHP Shell Detector Yandex Manul И прямые руки Если найдете зараженный файл, то смотрите его дату. Ищите файлы с той же датой/размером, смотрите их. Делайте так до тех пор, пока все не очистите. Удаляйте все файлы с сервера и заливайте те, что копировали на комп и очищали. Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. Далее остается ждать последующего заражения, после того как повторное заражение произошло (если произошло) по логам будет видно откуда. Снова заливайте чистые файлы, закрывайте обнаруженную дыру и делайте так до тех пор, пока заражения не прекратятся. Обычно взломанные сайты используют для рассылки писем или перехвата мобильного траффика, так что такой подход при очистке от зараженного кода вполне оправдан. 1 Надіслати Поділитися на інших сайтах More sharing options... hitball Опубліковано: 16 травня 2015 Share Опубліковано: 16 травня 2015 Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. подскажите, пожалуйста, где смотреть эти логи??? Надіслати Поділитися на інших сайтах More sharing options... halfhope Опубліковано: 16 травня 2015 Share Опубліковано: 16 травня 2015 подскажите, пожалуйста, где смотреть эти логи??? Имеются ввиду access логи сервера. Либо они доступны по FTP, либо из панели управления хостингом. Чаще всего находятся рядом с логом ошибок (не путать с логом ошибок OpenCart, это отдельные логи). Если их нигде нет, то запросите их у тех. поддержки за тот период, когда произошло вторжение. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки вирус плодит htaccess Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000
krashman Опубліковано: 8 травня 2015 Автор Share Опубліковано: 8 травня 2015 а полный?.. другие движки рядом есть? логи доступа по ftp и в панель управления хостингом? провериться на шеллы? прикрепил этот файл вчера удалил, сегодня опять создались в тех же папках: корень, admin, download, vqmod Попросил хостера проверить сайт на вирусы, вот такой отчёт вспомнил, что ставил ckeditor, да. но скачивал с официального сайта .htaccess.zip Надіслати Поділитися на інших сайтах More sharing options...
Tom Опубліковано: 8 травня 2015 Share Опубліковано: 8 травня 2015 Не плохой он этот антивирусник.Только проверять по-любому нужно локально и как раз в режиме "параноидальный".Хотя и безобидных файлов он найдёт ещё больше..... Надіслати Поділитися на інших сайтах More sharing options... halfhope Опубліковано: 9 травня 2015 Share Опубліковано: 9 травня 2015 Если с башем не в ладах, то выкачивайте сайт на локальный компьютер с сохранением дат модификаций файлов. Для поиска зловреда используйте. Clamav Scanner ai-bolit.php PHP Shell Detector Yandex Manul И прямые руки Если найдете зараженный файл, то смотрите его дату. Ищите файлы с той же датой/размером, смотрите их. Делайте так до тех пор, пока все не очистите. Удаляйте все файлы с сервера и заливайте те, что копировали на комп и очищали. Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. Далее остается ждать последующего заражения, после того как повторное заражение произошло (если произошло) по логам будет видно откуда. Снова заливайте чистые файлы, закрывайте обнаруженную дыру и делайте так до тех пор, пока заражения не прекратятся. Обычно взломанные сайты используют для рассылки писем или перехвата мобильного траффика, так что такой подход при очистке от зараженного кода вполне оправдан. 1 Надіслати Поділитися на інших сайтах More sharing options... hitball Опубліковано: 16 травня 2015 Share Опубліковано: 16 травня 2015 Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. подскажите, пожалуйста, где смотреть эти логи??? Надіслати Поділитися на інших сайтах More sharing options... halfhope Опубліковано: 16 травня 2015 Share Опубліковано: 16 травня 2015 подскажите, пожалуйста, где смотреть эти логи??? Имеются ввиду access логи сервера. Либо они доступны по FTP, либо из панели управления хостингом. Чаще всего находятся рядом с логом ошибок (не путать с логом ошибок OpenCart, это отдельные логи). Если их нигде нет, то запросите их у тех. поддержки за тот период, когда произошло вторжение. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки вирус плодит htaccess
halfhope Опубліковано: 9 травня 2015 Share Опубліковано: 9 травня 2015 Если с башем не в ладах, то выкачивайте сайт на локальный компьютер с сохранением дат модификаций файлов. Для поиска зловреда используйте. Clamav Scanner ai-bolit.php PHP Shell Detector Yandex Manul И прямые руки Если найдете зараженный файл, то смотрите его дату. Ищите файлы с той же датой/размером, смотрите их. Делайте так до тех пор, пока все не очистите. Удаляйте все файлы с сервера и заливайте те, что копировали на комп и очищали. Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. Далее остается ждать последующего заражения, после того как повторное заражение произошло (если произошло) по логам будет видно откуда. Снова заливайте чистые файлы, закрывайте обнаруженную дыру и делайте так до тех пор, пока заражения не прекратятся. Обычно взломанные сайты используют для рассылки писем или перехвата мобильного траффика, так что такой подход при очистке от зараженного кода вполне оправдан. 1 Надіслати Поділитися на інших сайтах More sharing options... hitball Опубліковано: 16 травня 2015 Share Опубліковано: 16 травня 2015 Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. подскажите, пожалуйста, где смотреть эти логи??? Надіслати Поділитися на інших сайтах More sharing options... halfhope Опубліковано: 16 травня 2015 Share Опубліковано: 16 травня 2015 подскажите, пожалуйста, где смотреть эти логи??? Имеются ввиду access логи сервера. Либо они доступны по FTP, либо из панели управления хостингом. Чаще всего находятся рядом с логом ошибок (не путать с логом ошибок OpenCart, это отдельные логи). Если их нигде нет, то запросите их у тех. поддержки за тот период, когда произошло вторжение. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
hitball Опубліковано: 16 травня 2015 Share Опубліковано: 16 травня 2015 Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. подскажите, пожалуйста, где смотреть эти логи??? Надіслати Поділитися на інших сайтах More sharing options...
halfhope Опубліковано: 16 травня 2015 Share Опубліковано: 16 травня 2015 подскажите, пожалуйста, где смотреть эти логи??? Имеются ввиду access логи сервера. Либо они доступны по FTP, либо из панели управления хостингом. Чаще всего находятся рядом с логом ошибок (не путать с логом ошибок OpenCart, это отдельные логи). Если их нигде нет, то запросите их у тех. поддержки за тот период, когда произошло вторжение. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0
Recommended Posts