Перейти к содержанию
krashman

вирус плодит htaccess

Рекомендуемые сообщения

Здравствуйте. Столкнулся с такой проблемой, что периодичесски не могу попасть на сайт в связи с блокировкой  по видимомому IP адреса.

 

Зашёл в корень сайта и вижу, что там огромных размеров лежит файл .htaccess с кучей строк:

RewriteEngine on
#operator
RewriteCond %{REQUEST_FILENAME} !message_for_oss.pdf
RewriteCond %{REMOTE_ADDR} ^109.106.192 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.193 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.194 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.195 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.196 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.197 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.198 [OR]
RewriteCond %{REMOTE_ADDR} ^109.106.199 [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[2-5] [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[2-3] [OR]
RewriteCond %{REMOTE_ADDR} ^185.3.3[4-5] [OR]
RewriteCond %{REMOTE_ADDR} ^193.201.(?:22[8-9]|23[0-1]) [OR]
RewriteCond %{REMOTE_ADDR} ^193.201.231.2 [OR]
RewriteCond %{REMOTE_ADDR} ^193.46.207 [OR]

и т.д.

 

помимо того, это не едиснтвенный .htaccess, ещё такие же нашёл в /admin , /vqmod , /download

 

И вот меня интересует:

1. что делать в этой ситуации? уже стёр все эти файлы, но что-то мне кажется этого недостаточно.

2. как подобная ситуация могла произойти в принципе на чистой системе? я лишь купил шаблон на templatemonster, поставил версию 1.5.6.4 версию, никаких лишних модулей с варезов и вообще никаких модулей, которые ранее не проверял не ставил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а полный?..

другие движки рядом есть?

логи доступа по ftp и в панель управления хостингом?

провериться на шеллы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а полный?..

другие движки рядом есть?

логи доступа по ftp и в панель управления хостингом?

провериться на шеллы?

 

прикрепил этот файл

вчера удалил, сегодня опять создались в тех же папках: корень, admin, download, vqmod

 

Попросил хостера проверить сайт на вирусы, вот такой отчёт

вспомнил, что ставил ckeditor, да. но скачивал с официального сайта

.htaccess.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

какой смешной оказывается этот айболит. Нашел кучу кода, который вовсе не вирус, а сам вирус не нашел вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не плохой он этот антивирусник.Только проверять по-любому нужно локально и как раз в режиме "параноидальный".Хотя  и безобидных файлов он найдёт ещё больше.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если с башем не в ладах, то выкачивайте сайт на локальный компьютер с сохранением дат модификаций файлов. Для поиска зловреда используйте.

  • Clamav Scanner
  • ai-bolit.php
  • PHP Shell Detector
  • Yandex Manul
  • И прямые руки

Если найдете зараженный файл, то смотрите его дату. Ищите файлы с той же датой/размером, смотрите их. Делайте так до тех пор, пока все не очистите.

 

Удаляйте все файлы с сервера и заливайте те, что копировали на комп и очищали. Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. Далее остается ждать последующего заражения, после того как повторное заражение произошло (если произошло) по логам будет видно откуда. Снова заливайте чистые файлы, закрывайте обнаруженную дыру и делайте так до тех пор, пока заражения не прекратятся.

 

Обычно взломанные сайты используют для рассылки писем или перехвата мобильного траффика, так что такой подход при очистке от зараженного кода вполне оправдан. 

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если по логам видно где произошло проникновение на сервер, то закрывайте дыру. 

 

подскажите, пожалуйста, где смотреть эти логи???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

подскажите, пожалуйста, где смотреть эти логи???

 

Имеются ввиду access логи сервера. Либо они доступны по FTP, либо из панели управления хостингом. Чаще всего находятся рядом с логом ошибок (не путать с логом ошибок OpenCart, это отдельные логи). Если их нигде нет, то запросите их у тех. поддержки за тот период, когда произошло вторжение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.