Форум Сайтостроение Веб-строительство

Регулярно взламывают .htaccess (WordPress)

T
На сайте с 04.07.2013
Offline
92
t1gran
4379

Здравствуйте!

Имеется сайт на WordPress.

НАСТРОЙКИ

www\htdocs\.htaccess:

<files wp-login.php>
Order deny,allow
Deny from all
Allow from МОЙ IP
</files>

<files .htaccess>
Order allow,deny
Deny from all
</files>

<files readme.html>
Order allow,deny
Deny from all
</files>

<files readme.txt>
Order allow,deny
Deny from all
</files>

<files install.php>
Order allow,deny
Deny from all
</files>

<files wp-config.php>
Order allow,deny
Deny from all
</files>

В панели управления хостера после моих правок файла www\htdocs\.htaccess я всегда закрывал его от редактирования, в том числе владельцем.

www\htdocs\wp-admin\.htaccess:

Order deny,allow
Deny from all
Allow from мой IP
<files admin-ajax.php>
Allow from all
</files>

Также активированы и настроены плагины Better WP Security и Wordfence Security.

ПРОБЛЕМА

Регулярно в файле www\htdocs\.htaccess удаляется следующий фрагмент:

<files wp-login.php>
Order deny,allow
Deny from all
Allow from МОЙ IP
</files>

В последний раз это произошло, судя по времени изменения файла, сегодня ровно в 16.00. Судя по тому, что в предущий раз это произошло позавчера ровно в 19.00, работает какой-то бот. Ни в том ни другом случае я в это время на сайте ничего не делал.

В http-логах в 19.00 позавчера были обращения к следующим данным:

/wp-content

/wp-includes

в 16.00 сегодня:

/tag/puc/

95.108.129.207 - - [21/Oct/2013:16:00:08 +0000] "GET / HTTP/1.0" 200 100158 "-" "Mozilla/5.0 (compatible; YandexMetrika/2.0; +http://yandex.com/bots mon1)"

В это же время, сегодня в 16.00 (время последнего изменения www\htdocs\.htaccess), по почте пришло сообщение от плагина о блокировке IP 204.12.247.162 "из-заслишком много попыток не существующий открыть файл". Судя по логам, это бот с сайта majestic12.co.uk.

В предоставленном хостером ftp-логе мой хост_login.txt помимо моего IP регулярно (в разные даты), и даже чаще моего, встречается один посторонний. С других компьютеров я ftp-клиентом не пользовался, и вообще это другой регион (и не хостера тоже). Нигде в сохраненных мною в разные дни http-логах этот IP не встречается. Но 19-ое число (когда было очередное изменение файла www\htdocs\.htaccess) в этом файле не упоминается.

В ftp-логе мой хост_ftp.txt встречаются только мои IP.

Визуально на сайте никаких изменений не наблюдаю. В технической поддержке хостера почему-то заподозрили xmlrpc.php, но файл редактировался месяц назад, при этом код в нем такой же, что и в дистрибутиве WordPress.

ВОПРОСЫ:

1) Означает ли несанкционированное изменение www\htdocs\.htaccess взлом сайта?

2) Если да - что можно предпринять своими силами для обнаружения и латания дыры в сайте?

A
На сайте с 18.05.2008
Offline
207
addurl
#1

Меняйте пароли на фтп и админку сайта.

Хотя, если ломают через дыру в одном из плагинов, то это не поможет.

Как временный костыль - можно поставить права 444 на файл, который меняют.

Но все равно нужно искать источник взлома, иначе поменяют другие файлы :)

LineHost.Org - Хостинг и VPS в Москве | VPS в США (http://linehost.org/) WebNicks.Com - Дешевая Регистрация Доменов Онлайн (http://webnicks.com/)
Help! Взлом сайтов на Заражение файла .htaccess Левый ява на ДЛЕ
root
На сайте с 04.07.2006
Offline
196
root
#2

поищите timthumb.php - замените его на более свежий.

SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#3
t1gran:
1) Означает ли несанкционированное изменение www\htdocs\.htaccess взлом сайта?

А есть уверенность что несанкционированное, а не плагинами?

Про права addurl верно написал, стоит так сделать. Но только понизить ещё, если возможно. Что бы пхп не имел доступа на изменение, но апач (только апач!) его читал.

t1gran:
В предоставленном хостером ftp-логе мой хост_login.txt помимо моего IP регулярно (в разные даты), и даже чаще моего, встречается один посторонний

А он реально существует? Прибить\поменять пароль на ОЧЕНЬ сложный

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
Как-то ломанули сервер, помогите Не выводятся ошибки парсинга Счетчика скачиваний - проверти
Vladimir
На сайте с 07.06.2004
Offline
604
Vladimir
#4
t1gran:

/wp-content
/wp-includes
1) Означает ли несанкционированное изменение www\htdocs\.htaccess взлом сайта?
2) Если да - что можно предпринять своими силами для обнаружения и латания дыры в сайте?

- файлом .htaccess запретить доступ всем на сайт, удалить все файлы движка,

- залить файлы движка, файлами .htaccess запретить доступ в папки /wp-admin /wp-includes кроме своего IP

- убрать запрет на сайт для всех

Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#5

1. проверить сайт ай-болитом на предмет левых скриптов

2. проверить свой комп антивирусом

3. обратиться к специалисту для анализа и исправления

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
denis716
На сайте с 12.09.2007
Offline
115
denis716
#6

у нас .htaccess несколько раз исправляли через dumper

если стоит такая тулза - убейте

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий