Как проверить htaccess на вирусы

чт, 11/21/2019 - 12:00

Я администрирую сайты с 2012 года. Специализируюсь на безопасности: удаляю вредоносные скрипты, устраняю уязвимости. Лечил как небольшие блоги, так и крупные интернет-магазины. Сегодня поделюсь инструментами, с помощью которых проверяю сайт на вирусы и удаляю их.

Эта статья не для новичков: понадобится знание основ HTML, PHP и JS, а также умение работать в консоли.

Что такое вирусы и как они попадают на сайт

Вирус — это вредоносный код. Он меняет внешний вид сайта, размещает рекламу, отправляет посетителей на другой сайт, даёт мошенникам доступ к сайту, использует ресурсы хостинга для майнинга или других вычислений.

На сайте вирус, если:

1. На страницах появился контент, который владелец не добавлял.
2. Сайт стал работать медленнее.
3. При переходе на него пользователи видят другой ресурс.
4. Упала посещаемость из поиска.
5. На хостинге появились новые папки.

Вирусы попадают на сайт через уязвимый код или расширения, вследствие неправильных настроек хостинга, атаки с подбором пароля, заражения хостинга или компьютера.

Когда на сайт попадают вирусы, репутация владельца, трафик из поиска и доходы с сайта оказываются под угрозой. Чтобы вылечить сайт от вируса, сначала надо убедиться в заражении, а потом найти и удалить вредоносный код. После этого — защитить проект от будущих атак. Ниже расскажу о каждом этапе.

Убедиться в заражении

Если есть подозрение на вирус, но уверенности нет, надо убедиться в заражении. Для этого я проверяю сайт через онлайн-сканеры, а также в нескольких браузерах и поисковиках.

Онлайн-сканеры помогают быстро найти вредоносный код, но я никогда не полагаюсь только на них: не все вирусы можно найти автоматически. Вот несколько сервисов:

Один из признаков заражения — редирект. Это когда при переходе на ваш сайт пользователи видят другой ресурс. Заражённый сайт с компьютера может открываться нормально, а с телефона посетителей будет перекидывать на фишинговую страницу или страницу с мобильными подписками. Или наоборот.

Поэтому нужно проверять поведение сайта в разных браузерах, операционных системах и мобильных устройствах.

Поисковые системы автоматически проверяют сайты на вирусы. Заражённые ресурсы они помечают серым цветом и подписью с предупреждением.

Чтобы проверить свой сайт, введите адрес в поисковую строку Яндекса или Google. Если увидите предупреждение, значит, сайт заражён. Посмотрите вердикты и цепочки возможных заражений.

Способ не универсальный! Поисковые системы находят вредоносный код не сразу. Кроме того, вирус можно научить проверять источник запроса и прятаться от поисковиков. Если такой вирус увидит запрос из поисковой системы, скрипты не отработают — поисковая система не увидит подвоха.

Еще один вид вируса — дорвеи. Они встраивают на сайт свой контент.

Найти и удалить зловредов

Когда в заражении нет сомнений, вредоносный код надо найти и удалить. Основная проблема — найти. Я просматриваю файлы сайта вручную, а также использую консоль.

Вредоносные скрипты часто добавляют в исходный код сайта (в браузере нажите Сtrl+U). Проверьте его на наличие посторонних JS-скриптов, iframe-вставок и спам-ссылок. Если найдёте — удалите.

Проверьте все JS-скрипты, которые подключаются во время загрузки страницы, нет ли в них посторонних вставок. Обычно их прописывают в начале и в конце JS-скрипта.

Все посторонние вставки удалите.

Действительно, не всегда вредоносный скрипт — это отдельно подключенный файл, часто модифицируют один из существующих файлов. Если код обфусцирован, понять его не удастся. В таком случае стоит выяснить, в каком файле он находится.

Если это часть CMS, то надо проверить оригинальное содержимое такого файла, выгрузив архив с CMS такой же версии и сравнив содержимое этого файла.

Если файл самописный, т. е. не относится к компоненту CMS, то лучше обратиться к разработчику. Скорее всего он знает, что писал он, а что мог добавить зловред. В таком случае оригинальное содержимое можно заменить из бекапа.

Ростислав Воробьёв, сотрудник техподдержки ISPsystem

Если известно, когда взломали сайт, то вредоносный код можно найти по всем файлам, что были изменены с тех пор.

Например, взлом произошел несколько дней назад, тогда для вывода всех PHP-скриптов, которые были изменены за последние 7 дней, нужно использовать команду: find . –name '*.ph*' –mtime -7

После выполнения команды нужно проанализировать найденные PHP-скрипты на возможные вредоносные вставки.

Это действительно помогает уменьшить список подозреваемых PHP-файлов, которые могут содержать зловредов. Однако не всегда зловреды в PHP-файлах. Немного модифицировав .htaccess файл, можно создать файл с разрешением .jpg, в нём разместить PHP-код и веб-сервер будет исполнять его как обычный PHP, но с виду это будет картинка — пример реализации.

Ростислав Воробьёв

Директории upload/backup/log/image/tmp потенциально опасны, так как обычно они открыты на запись. В большинстве случаев именно в них заливают shell-скрипты, через которые потом заражают файлы сайта и базу данных. Такие директории нужно проверять на возможные вредоносные PHP-скрипты.

Например, каталог upload можно проверить командой: find /upload/ -type f -name '*.ph*'

Она покажет все PHP-файлы в каталоге upload.

После анализа заражённые файлы можно удалить вручную или командой: find /upload/ -name '*.php*' -exec rm '<>' \;

Откройте каталог сайта. Найдите файлы и папки с нестандартными именами и подозрительным содержимым, удалите их.

Ростислав Воробьёв

Все папки на хостинге нужно проверить на множественные php и html файлы в одной директории, сделать это можно командой:

find ./ -mindepth 2 -type f -name '*.php' | cut -d/ -f2 | sort | uniq -c | sort –nr

После выполнения команды на экране отобразится список каталогов и количество PHP-файлов в каждом из них. Если в каком-то каталоге будет подозрительно много файлов, проверьте их.

Быстро проверить сайт на вирусные скрипты можно командой:

find ./ -type f -name "*.php" -exec grep -i -H "wso shell\|Backdoor\|Shell\|base64_decode\|str_rot13\|gzuncompress\|gzinflate\|strrev\|killall\|navigator.userAgent.match\|mysql_safe\|UdpFlood\|40,101,115,110,98,114,105,110\|msg=@gzinflate\|sql2_safe\|NlOThmMjgyODM0NjkyODdiYT\|6POkiojiO7iY3ns1rn8\|var vst = String.fromCharCode\|c999sh\|request12.php\|auth_pass\|shell_exec\|FilesMan\|passthru\|system\|passwd\|mkdir\|chmod\|mkdir\|md5=\|e2aa4e\|file_get_contents\|eval\|stripslashes\|fsockopen\|pfsockopen\|base64_files" <> \;

Либо можно использовать grep без find.

grep -R -i -H -E "wso shell|Backdoor|Shell|base64_decode|str_rot13|gzuncompress|gzinflate|strrev|killall|navigator.userAgent.match|mysql_safe|UdpFlood|40,101,115,110,98,114,105,110|msg=@gzinflate|sql2_safe|NlOThmMjgyODM0NjkyODdiYT|6POkiojiO7iY3ns1rn8|var vst = String.fromCharCode|c999sh|request12.php|auth_pass|shell_exec|FilesMan|passthru|system|passwd|mkdir|chmod|md5=|e2aa4e|file_get_contents|eval|stripslashes|fsockopen|pfsockopen|base64_files" ./

Эти команды выполнят поиск вредоносного кода в файлах текущего каталога. Они ищут файлы рекурсивно, от того каталога, в котором запущены.

Совпадений будет много, большинство найденных файлов не будут зловредами, так как модули CMS тоже используют эти функции.

В любом случае, проанализируйте найденные PHP-скрипты на возможные вредоносные вставки. Перед удалением файла обязательно посмотрите его содержимое.

Часто во время взлома и заражения сайта вредоносный код добавляют в базу данных. Для быстрой проверки базы данных на вирусы нужно зайти в phpmyadmin и через поиск ввести по очереди запросы

Никакой владелец сайта не захочет, чтобы траффик с его сайта уходил через редирект к неизвестным сайтам - это неинтересно как клиентам, подрывает доверие покупателей и вызывает санкции поисковых систем и антивирусов.

В данной статье я рассмотрю основные варианты встраивания вирусных редиректов.

Внимание! Удаляя редирект, Вы удаляете лишь следстствие, для того, чтобы ситуация не повторилась, Вам стоит искать причину попадания вирусов на сайт!

Кроме этого, вредоносные редиректы плохо детектируются сканерами и антивирусами, что зачастую приходится искать вручную источник зла.

В первую очередь ищем вставки кода в файлы .htaccess, особенно в корне сайта

Все что связано с Rewrite стоит проверить, куда перенаправляет.

Ниже я приведу пару вредоносных вставок - которые создают дорвеи и тысячи страниц в поиске, так называемый японский спам (сео-спам, страницы с иероглифами - тут много названий):

Если увидите что-то подобное - смело можно удалять, если сомневаетесь, какие строки можно оставить, то возьмите стандартный файл вашей CMS - там не будет находиться вирус!

Обычно редиректы прописывают для запросов с мобильных и планшетов:

android|plucker|pocket|psp|symbian|treo|vodafone|wap и другие вариации мобильных заголовков

как и для переходов с поисковых систем:

Если этот пункт не помог, то стоит обратить внимание на код страницы - порой часто редирект добавляют через Javascript

Чтобы избавиться от вредоносного кода может понадобиться массовая замена всех .js файлов.

Обязательно проверяйте индексные файлы и папку шаблона - это излюбленные места хакеров для вирусов. Особенно тщательно пройдитесь по файлам index.php, footer.php, head.php, header.php - в последнее время популярно стало размещать сами вирусы не в них, а в виде ссылок. Поэтому внимательно проверяйте, какие файлы подгружаются посредством команд include и require.

Самые изощренные вставки делаются уже в подгружаемые модули, плагины и компоненты. Это могут быть как отдельно внедренные модули (особенно если была взломана админка), так и просто вставки зашифрованного кода в файлы известных и популярных расширений.

К примеру, в последнее время встречаю не один сайт на джумле ( в частности на Joomla 2.5), где по пути includes/inc.class.php находится сам вирус, а в файл application.php в этой же папке вставлена следующая строка

Обычно параллельно с этим libraries/joomla/appplication находится вирус редиректа с именем joomla-app.php

не подскажите что это за папка

вот полный путь до папки

в файле .htaccess

order deny,allow
deny from all

в файле .htaccess.backup

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond % !-f
RewriteCond % !-d
RewriteRule . /index.php [L]

order allow,deny
deny from all

в файле index.html

там пусто никаких записей нет

Подскажите пожалуйста если можно, что еще можно было бы поставить с связке с

All In One WP Security

какой нибудь сканер, если были изменения в файлах и автоматически сканировал сайт, буквально все что бы можно было бы обезопасить сайт?

Сделать такую связку чтобы они не конфликтовали между собой

Начала заниматься с вордпресс совсем недавно, и как этот движок самый распространенны й то ломают его часто, хотелось бы как сказать во все оружие встретить если что
Вроде бесплатных много есть плагинов, но не ставить же все подряд, чтобы конфликта не было
Если есть мысль было бы хорошо

Насчет крона это не про меня, не настолько понимаю

В любом случае спасибо что подсказали

Добрый день всем.
Пишу из за того что не знаю что уже делать. у меня на сайтах укакой то вирус который делает редирект с них. только в том случае если человек перрвый раз переходит из поисковиков путем нажатия на ссылку ведущую на мой сайт.

- Дело в том что эта "зараза" распростроняетс я и на поддомене.
Мы уже все снесли, все конструкторы и установили сайты заново, чистые аккуратно и без вируса, становится понятно что дело не в сайтах, не в их коде, Свои пк Ноутбук проверены разными антивирусами, но все ровно идет редирект, мы выходили специально даже от друзей, где они вообще ни имею отношения к нашим сайтам, но и там все происходит как на ролике выше. остается только один голый домен. помогите пожалуйста решить эту проблему, у меня весь трафик уходит налево, да ладно если бы просто уходил, так он ведет на проверенны лохотрон, люди страдают.

и так на всех моих сайтах и их поддоменах.
Я точно знаю что дело не в сайтах и не моих ПК.
Дело в самих доменах. Помогите прошу люди решить эту задачу.

Да, конечно каждый вирус и каждый сайт уникальны, так что я постараюсь описывать непосредственно механизм их поиска и примерные варианты удаления. А уже непосредственно в вашем случае все может быть по другому, вирусописатели невероятные выдумщики и всегда находят новые ходы и способы скрыться.

И так начнем, возьмем сайт, клиент жалуется на вирус.

Первое на что мы обращаем внимание, так ли это, как ни странно клиент он по определению не компетентен для такого заключения.

Нам нужно подтвердить факт вируса.

В начале делаем бэкап всего сайта.

Первое что нужно сделать пробежаться по сайту и просмотреть следующие файлы, я привожу пример на joomla, поскольку она больше всех подвергается атаки. .htaccess ищем все подозрительное, особенное внимание к вот таким маскам

Сразу пробегаемся по index.php

Смотрим все подозрительные файлы в корневом, ищем непонятные папки, даже если в них тысячи файлов.

Как ни странно, но при обходе не было найдено ничего особо подозрительного, кроме спорной папки, но в /tmp было найдено пара папок вот с такими index.php , что явно не работа наших программистов, собственно они сразу пошли в печку без разборов.

Теперь возьмем отличный инструмент и просканируем им сайт в поисках того что наш взгляд с первого захода пропустил.

Скачиваем wget, переименовываем в zip файл, распаковываем, копируем все в папку сайта, запускаем с консоли

или если вы все еще в каменном веке и не умеете пользоваться ssh, то по старинке и ждем прогресса, но нужно будет добавить код, код внутри файла, в первых строках. Подробнее прочитать можно в манне. Смотрим репорт

По репорту видим 3 base64 в joomla их нет, 99% что это вирусы, остальное по мелочи удалим руками. Поскольку видно, что вирусы шли не регуляркой, а направлены на определенные файлы.

Давайте глянем более подробный репорт, он создан в виде html файла в корне сайта.

Открываем первую ссылку:

В joomla таких файлов нет явно, все что остается проверить его до конца проверив не удалим ли мы нормальный код.

Удаляем весь файл. Тут явно нужный файл и нам потребуется определить, что именно тут вирус, а что нет.

А вот вторая ссылка интереснее.

Тут явно нужный файл и нам потребуется определить, что именно тут вирус, а что нет. Поскольку файл длинный покажу начало и конец. В начале пустота и куча табов, в середине наш друг, в конце забился собственно сам файл, вырежем все кроме начальных комментариев и последних двух строк

Фактически нам нужно только вот это.

Вот он же в MC, думаю так будет более понятно.

Обратите внимание на табуляции, с виду почти нормальный файл.

Поскольку все они 100% вирусы.

И собственно там и лежали сами shell скрипты, Порой в них, более удобные и функциональные чем интерфейс хостера.

/media/system/js/mootools.js вынесу в отдельный пункт, этот файл достал меня уже давно, мало того что он практически не используется, мало того, что он здоровый как конь и весь не читаемый.

Так еще и каждый порядочный вирус в него пытается залезть. И его мы проверяем с особой внимательностью, а фактически я накачу на него заведомо чистый файл с такой же версии joomla и не буду даже им париться.

Собственно даже на взгляд видно что файлик дописан

Остальные алиарды выданные скриптом нам не подошли, по дороге мы удалили еще пару троек файлов которые он не учел. Но в общем и целом помог нам в работе. Так же были пройдены все модификации в js скриптах с момента последнего индексирвоания в мониторинговой системе, все они оказались доработками программиста.

Пройдясь по сайту, в .htaccess была найдена также строка с табуляциями

Собственно ее тоже пустили под нож.

И наконец, все что нам осталось - навести косметику.

И естественно, вирус нашел брешь в вашей системе обороны, а следовательно повторное инфицирование однозначно возможно. Как показывает практика одну уязвимость вирусы используют не больше месяца потом активность спадает в сотни раз, но не до нуля. Так что вам в любом случае рекомендовано обновить все компоненты движка и его самого. Самый же лучший вариант перейти на битрикс. Не на правах рекламы, но по статистики битрикс ломают в тысячи раз реже. Фактически, за несколько лет я видел всего пару взломанных сайтов на битрикс. И некоторые из них могли инфицировать сайты лежащие на текущем аккаунте. Достоверно битрикс взломан при мне 2 раза. Что по сути можно посчитать как погрешность. Более защищенного движка в интернете я не видел. Самопись кстати к ним точно не относится.

You are using an outdated browser. Please upgrade your browser.

By signing up, you agree to our Terms of Service and Privacy Policy.

Украинская версия статьи здесь.

В данной статье рассмотрим антивирусы, с помощью которых выполняется проверка сайта на вирусы локально.

Это AI-Bolit и Linux Malware Detect . Они являются абсолютно бесплатными и распространяются под свободной лицензией. Сканеры применяют для эффективного поиска различных шелов, бекдоров и других опасных заражения в исходном коде сайта. Благодаря собственной базе сигнатур, антивирусы успешно обнаруживают угрозы. Также включен специальный уровень эвристического анализа, он может найти неопределенные угрозы. AI-Bolit и Linux Malware Detect – это скрипты, которые устанавливаются непосредственно на сервер владельца сайта. Далее расмотрим как работать с данными программами.

Как сделать проверку сайта на вирусы?

Для начала рассмотрим популярный сканер AI-Bolit , так как LMD является более простым и считается менее надежным. В начале своего развития это был обычный небольшой скрипт для поиска вирусов по регулярным выражениям и гибким патерам. Со временем в скрипт добавлялись дополнительные функции, включая обнаружение уязвимостей в ПО, использование баз данных сигнатур и тп.

Для обеспечения полноценной проверки рекомендуется запускать сканер через командную строку. Для этого скопируйте все файлы из папки ai-bolit в корневую папку вашего сайта:

cp ai-bolit/* /путь/к/корневой/папке/сайта

Проверка кода на вирусы выполняется с помощью команды:

Процесс сканирования может продолжаться до суток. Это время зависит от количества файлов. После окончания проверки будет создана html страница с отчетом о найденных вирусах: красная секция содержит данные про обнаруженные вирусы, вторая секция – подозрительные файлы, третья секция – уязвимости и четвертая – проблемы с правами доступа или настройками сервера. После этого проанализируйте отчет и посмотрите те файлы, который показались сканеру подозрительными.

Скрипт отлично справляется со следующими задачами:

– поиск вирусов, вредоносных и хакерских скриптов, например, шеллы по сигнатурам, гибким паттернам и на основе несложной эвристики;

– поиск редиректов в .htaccess на вредоносные ресурсы;

– поиск кода sape/trustlink/linkfeed в .php файлах;

– определение директорий, открытых на запись;

– поиск пустых ссылок (невидимые ссылки) в шаблонах.

Что очень удобно: сканер совместим со всеми CMS без исключения.

AI-Bolit может прекрасно справляться со своими заданиями в нескольких режимах:

– быстрое сканирование (только по php, html, js, htaccess файлам);

– в режиме “Эксперта”, исключать директории и файлы по маске. Сканер включает в себя большую базу crc white-листов популярных CMS, а это означает количество ложных срабатываний сведено к минимуму.

База сигнатур практически регулярно пополняется новыми найденными образцами, что означает постоянную актуальность сканера AI-Bolit.

Воспользоваться сканером для сайта стоит в случаях, если :

• антивирусы блокируют доступ к страницам сайта;
• на страницах интернет-ресурса появились “чужие” ссылки;
• происходит мобильный редирект при заходе со смартфона или планшета;
• по непонятным причинам упала посещаемость сайта;
• посетители сообщают о вирусах;
• хостинг-провайдер заблокировал почту за рассылку спама;
• возникло подозрение на взлом ресурса.

Более простая проверка сайта на вирусы осуществляется с помощью Linux Malware Detection . Программа использует базу данных сигнатур и регулярные выражения grep для поиска вирусов. Сканер может интегрироваться с Clamav и использует clamscan для сканирования. После скачивания программы на официальном сайте необходимо загрузить его на сервер с помощью команды scp. Далее распаковать архив.

Переходим в папку с распакованными файлами и запускаем установку скрипта на сервер с помощью:

Для запуска сканирования передайте утилите maldet опцию -a, и путь, который нужно проверить:

maldet -a /var/www/losst/data/www/hyperhost.ua/

После завершения сканирования информация о найденных угрозах будет выведена на екран.

Откуда сканер черпает сигнатуры вирусов?

• Из данных Сети. Полученная информация подвергаются анализу и обработке.
• Благодаря взаимному обмену данными с Clam AntiVirus.
• С данных, которые присылают сами пользователя сканера.

Основные возможности Linux Malware Detection:

1. Проверяет безопасность сайта и распознает, какого тип информации, которая была найдена.
2. Ведет статистку.
3. Вручную и автоматически обновляет сигнатуры и устанавливает новую версию скрипта.
4. Сканирует последние созданные файлы за выбранный промежуток времени.
5. Если угроза обнаружена, то данные отправляются на оф. сайт для анализа.
6. Ведение отчетов.
7. Можно создавать исключения для различных путей и директорий.
8. Данные сканирования в случае необходимости отправляются на E-Mail.

Какие самые опасные уязвимости сайтов существуют? Рассмотрено более подробно по ссылке .

В данной статье я рассмотрела основные инструменты для локальной проверки сайтов на вирусы. А какими программами пользуетесь Вы? Поделитесь ими в комментариях.

Про жизнь, путешествия, вкусную еду, технологии, веб-разработку и Drupal

Природа площадок сразу же намекнула на то, что виной всему происходящему — некий вирус (а не Яндекс).

Поскольку симптомы в данном случае были похожие, то первым делом я пошёл проверять .htaccess и увидел там примерно следующее:

Соответственно, если столкнетесь с подобным, то смотрите дату/время последнего изменения .htaccess (ни в коем случае сразу же не бросайтесь его очищать и пересохранять), затем просите у хостера (если сайт на shared-хостинге) FTP-логи за период вокруг момента заражения. По логам выясняйте, что ещё делал тот же злобный IP-адрес, с которого поправили .htaccess .

1. Искать PHP-shell по всей структуре сайта. Если shell был внедрён, то смена FTP-пароля — не поможет (добавлять вредные правила в .htaccess вам и дальше продолжат через shell).
2. Обновлять CMS и прочий софт.

Профилактика: ещё раз повторим общеизвестные правила защиты от вирусов и троянов

Самые популярные причины попадания вируса на сайт:

1. Не использовать простые пароли, которые треснут как орешек за пару часов ненавязчивого перебора.
2. Не держать в открытом не зашифрованном виде пароли локально, иметь и обновлять антивирус.
3. Обновлять CMS и фреймворки, на которых построен сайт, до актуальных версий.
4. Всегда иметь работоспособный бэкап. Для этого, обычно, достаточно иметь резервную копию месячной, недельной и суточной давности, проводя раз в квартал её тестовое разворачивание.

А ещё такой вирус не страшен сайтам, работающим целиком на nginx без Apache 🙂

Кроме осады .htaccess этот вирус и его родственники умеют прописываться во всех поголовно php-файлах.

Чтобы запутать неопытного веб-мастера код вируса упаковывается примерно таким образом:

На выходе при исполнении файла (и декодировании всей этой беды) получаем всё те же редиректы, только средствами PHP, а не веб-сервера.

find ./ -type f -exec sed -i 's/eval(base64_decode(\"DQplcn[^;]*;//g' <> \;

Если имеется SSH доступ к серверу, то запустить всё это можно прямо там (иначе — надо будет скачать все файлы к себе, полечить локально, залить обратно).

[…] тут, кстати, Алексей Костин написал отличную статью по борьбе с вирусами в .htaccess Леш, я честно твою статью через поиск нашла и она — […]

Andr435
Дек 23, 2012 @ 20:55:37

Павел
Янв 05, 2013 @ 01:03:01

Irshat
Янв 13, 2013 @ 12:59:23

Большое спасибо. Вычистил все php одной командой find от eval(base64_decode все свои сайты на одном хостинге

alex
Июл 09, 2013 @ 11:07:15

Подтверждаю, сайты на Majordomo заразились этой гадостью, смена ftp паролей, учетных данных, e-mail, чистка левого кода, заливка из бэкапа оригинальных файлов, настройка прав доступа — все в пустую, сайты вновь редиректят мобильный траффик на различные sms и сайты с вирусами. Сайтов более 50 различных тематик, разных клиентов, на одной системе управления с аналогичными настройками, та часть, которая расположена у Majordomo — стабильно страдает этой фигней. Majordomo — небезопасный хостинг!

kostin
Июн 04, 2014 @ 10:21:31

> на одной системе управления с аналогичными настройками
Так может дырка в ней, а не в хостинге?

Dima_Bedny
Июн 04, 2014 @ 10:17:26

Приветствую Как конкретно чистил файл .htaccess? Обьясните пожалуйста!

kostin
Июн 04, 2014 @ 10:19:47

Как конкретно чистить — зависит от конкретного файла. Откройте его в текстовом редакторе и ищите там, для начала, глазками редиректы на посторонние домены.

Dima_Bedny
Июн 04, 2014 @ 10:43:27

файл .htaccess! Просто в редакторе удалить строки или как?

kostin
Июн 04, 2014 @ 10:45:10

У вас в файле .htaccess могут быть несколько иные инъекции, чем описаны в статьи. Но в любой инъекции будут редиректы на внешний рекламно-вирусный сайт. Ищите, удаляйте, сохраняйте. Если инъекции снова появятся, значит где-то у вас сиди шелл, через который их присаживают.

Dima_Bedny
Июн 04, 2014 @ 10:50:00

kostin
Июн 04, 2014 @ 10:53:36

Dima_Bedny
Июн 04, 2014 @ 10:59:06

Осталось только:
RewriteEngine on

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond % !-f
RewriteCond % !-d
RewriteRule . /index.php [L]

kostin
Июн 04, 2014 @ 11:08:51

Коли у вас Вордпресс, то скачайте уже себе дистрибутив акутальной версии, достаньте оттуда .htaccess и замените ваш на дефолтный. А также обновите сам Вордпресс. 95% что где-то у вас сиди шелл, который всё равно потом .htaccess перезапишет, если вы шелл не прибьёте. Помочь вам в охоте на шелл может модуль Anti-Malware by ELI (Get Off Malicious Scripts), только не мучайте меня вопросами по использованию модуля. И сделайте бэкап.

Dima_Bedny
Июн 04, 2014 @ 11:11:35

Спасибо огромное все теперь ясно.

Vladimir
Авг 23, 2014 @ 17:45:02

Добрый день!
До недавнего времени был на моем сайте редирект с мобильных устройств, теперь ещё и с обычных. Никак не могу найти — где вирус засел.

text/x-generic .htaccess
ASCII English text

#php_value display_errors Off

##
# @package Joomla
# @copyright Copyright (C) 2005 — 2013 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##

##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: ‘Options +FollowSymLinks’ may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url’s. If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
#Options +FollowSymLinks

## Mod_rewrite in use.

## Begin — Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond % base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a tag in URL.
RewriteCond % (|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond % GLOBALS(=|\[|\%[0-9A-Z]<0,2>) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond % _REQUEST(=|\[|\%[0-9A-Z]<0,2>)
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End — Rewrite rules to block out some common exploits.

## Begin — Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End — Custom redirects

##
# Uncomment following line if your webserver’s URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

## Begin — Joomla! core SEF Section.
#
RewriteRule .* — [E=HTTP_AUTHORIZATION:%]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond % !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond % /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn’t directly match a physical file
RewriteCond % !-f
# and the requested path and file doesn’t directly match a physical folder
RewriteCond % !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End — Joomla! core SEF Section.

Подскажите пожалуйста — здесь не спрятан ли вирус?

Заранее огромное спасибо!

Константин
Мар 26, 2015 @ 18:51:39

Благодарочка!
Правлю я .htaccess, а он мне назад его откатывает))))
Спасибо за подсказку!

Виктор
Янв 04, 2017 @ 14:50:54

kostin
Янв 26, 2017 @ 14:26:54

Если происходит редирект, то это не обязательно означает, что он прописан именно в .htaccess (вирус может вшить редиректы и, например, в php-файлы ядра, модулей, темы). Ищите везде. Для Вордпресса вам в поисках поможет плагин — gotmls

Сергей
Июл 25, 2017 @ 11:04:47

Добрый день Kostin! Подскажите, пожалуйста, существует ли плагин для MODx, аналогичный Anti-Malware by ELI для Вордпресс?

Александр Коховец
Апр 20, 2018 @ 16:24:20

Здравствуйте поможете с лечением за денежку? у меня друпал, емайл qwerdie@mail.ri

Сергей
Июл 25, 2017 @ 11:03:49

Добрый день Kostin! Подскажите, пожалуйста, существует ли плагин для MODx, аналогичный Anti-Malware by ELI для Вордпресс?

Charlestyday
Мар 16, 2019 @ 21:49:44

hOur company offers weight loss products. Look at our health contributing portal in case you want to look better. Our company offers supreme quality health and related products. Take a look at our health contributing website in case you want to look better. Our company offers a wide variety of non prescription products. Take a look at our health site in case you want to to feel healthier with a help of generic supplements. Our company provides a wide variety of non prescription products. Take a look at our health portal in case you want to to feel healthier with a help of generic supplements. Our company provides herbal weight loss products. Look at our health contributing site in case you want to feel better. Our site offers a wide variety of non prescription drugs. Look at our health portal in case you want to to feel healthier with a help generic supplements.
Our company offers safe healthcare products. Visit our health contributing website in case you want to improve your health. Our company provides generic supplements. Visit our health contributing website in case you want to feel better. Our company provides a wide variety of non prescription drugs. Visit our health website in case you want to to feel healthier with a help of general health products. Our company offers safe health and related products. Look at our health contributing website in case you want to strengthen your health. Our company offers a wide variety of general health products. Take a look at our health contributing website in case you want to feel better.

Это действительно полезный
совет, особенно для тех, кто новичок в этом вопросе 😉

Большое спасибо за ваши удивительные статьи…

Я действительно наслаждаюсь чтением!

Вы, оказывается, превосходный писатель:
) Я уверен, что сохраню ваш веб блог в избранном, и в ближайшем будущем сюда вернусь!
Продолжайте свою высококачественную работу.
Приятного вечера:)

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

• Drupal (6)
• Веб-разработка (9)
• Железо (1)
• ЗОЖ (1)
• Маркетинг (4)
• На злобу дня (8)
• Обзоры (1)
• Полезняшки (1)
• Политика (1)
• Приготовление пищи (2)
• Путешествия (16)
• Разное (8)
• Софт (1)
• Спорт (2)