Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

вирус плодит htaccess


krashman

Recommended Posts

Здравствуйте. Столкнулся с такой проблемой, что периодичесски не могу попасть на сайт в связи с блокировкой  по видимомому IP адреса.

 

Зашёл в корень сайта и вижу, что там огромных размеров лежит файл .htaccess с кучей строк:

RewriteEngine on
#operator
RewriteCond %{REQUEST_FILENAME} !message_for_oss.pdf
RewriteCond %{REMOTE_ADDR} ^109.106.192 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.193 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.194 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.195 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.196 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.197 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.198 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.199 [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[2-5] [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[2-3] [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[4-5] [OR]
RewriteCond %{REMOTE_ADDR} ^193.201.(?:22[8-9]|23[0-1]) [OR]
RewriteCond %{REMOTE_ADDR} ^193.201.231.2 [OR]
RewriteCond %{REMOTE_ADDR} ^193.46.207 [OR]

и т.д.

 

помимо того, это не едиснтвенный .htaccess, ещё такие же нашёл в /admin , /vqmod , /download

 

И вот меня интересует:

1. что делать в этой ситуации? уже стёр все эти файлы, но что-то мне кажется этого недостаточно.

2. как подобная ситуация могла произойти в принципе на чистой системе? я лишь купил шаблон на templatemonster, поставил версию 1.5.6.4 версию, никаких лишних модулей с варезов и вообще никаких модулей, которые ранее не проверял не ставил.

Надіслати
Поділитися на інших сайтах


а полный?..

другие движки рядом есть?

логи доступа по ftp и в панель управления хостингом?

провериться на шеллы?

Надіслати
Поділитися на інших сайтах

а полный?..

другие движки рядом есть?

логи доступа по ftp и в панель управления хостингом?

провериться на шеллы?

 

прикрепил этот файл

вчера удалил, сегодня опять создались в тех же папках: корень, admin, download, vqmod

 

Попросил хостера проверить сайт на вирусы, вот такой отчёт

вспомнил, что ставил ckeditor, да. но скачивал с официального сайта

.htaccess.zip

Надіслати
Поділитися на інших сайтах


Не плохой он этот антивирусник.Только проверять по-любому нужно локально и как раз в режиме "параноидальный".Хотя  и безобидных файлов он найдёт ещё больше.....

Надіслати
Поділитися на інших сайтах

Если с башем не в ладах, то выкачивайте сайт на локальный компьютер с сохранением дат модификаций файлов. Для поиска зловреда используйте.

  • Clamav Scanner
  • ai-bolit.php
  • PHP Shell Detector
  • Yandex Manul
  • И прямые руки

Если найдете зараженный файл, то смотрите его дату. Ищите файлы с той же датой/размером, смотрите их. Делайте так до тех пор, пока все не очистите.

 

Удаляйте все файлы с сервера и заливайте те, что копировали на комп и очищали. Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. Далее остается ждать последующего заражения, после того как повторное заражение произошло (если произошло) по логам будет видно откуда. Снова заливайте чистые файлы, закрывайте обнаруженную дыру и делайте так до тех пор, пока заражения не прекратятся.

 

Обычно взломанные сайты используют для рассылки писем или перехвата мобильного траффика, так что такой подход при очистке от зараженного кода вполне оправдан. 

  • +1 1
Надіслати
Поділитися на інших сайтах

подскажите, пожалуйста, где смотреть эти логи???

 

Имеются ввиду access логи сервера. Либо они доступны по FTP, либо из панели управления хостингом. Чаще всего находятся рядом с логом ошибок (не путать с логом ошибок OpenCart, это отдельные логи). Если их нигде нет, то запросите их у тех. поддержки за тот период, когда произошло вторжение.

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.