WEBLEDI.RUВебледи Форум успешных женщин-вебмастеров
05 Декабрь 2016, 02:34:18 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Правила Реклама
 
5
10
15
Свежие ответы
Ищу копирайтера на постоянную работу. Тематика: цветы, сад, огород от Violet-Lady (Ищу копирайтера, редактора, контент-менеджера)
Re: Интересные статьи из буржунета (переводы) + Рерайтинг + Копирайтинг от semnat (Контент, копирайтинг, переводы)
Re: Партнерка Vsemayki.ru - 25% с продаж. Отличный конверт 1 к 20 от vsemaykiadmin (CPA-сети)
Доска объявлений версии 2.2 от Diana101 (Сайты)
Re: Дизайн от новичка от LanaSvetNik (Дизайн)
Онлайн-консультант Jivosite со скидкой до 20% от KeyWebRu (Хостинг)
Создать тест-опрос в Гугл Документах (или ваш вариант) от Anonyff (Работа и услуги)
Re: AdBean - Бобовая тизерная сеть. Новостные и товарные тизеры. До 90% отчислений! от AdBean (Реклама и доход)
Re: Подарю, продам или сдам в аренду домены от June (Домены)
Автоматизация Яндекс Директ + возврат 8% от рекламного бюджета. от Александр_26 (Полезное)
Re: Quick Sender - Комбайн для продвижения в ВКонтакте от Dima_Myrzich (Социальные сети)
Re: Марафон Спарта от Пузата - Почему я иду от Katelite (Обучение сайтостроению, SEO и заработку)
Re: Чистенький женский СДЛ. Размещение в авто от uckpa (Платное размещение статей и ссылок)
Re: [Анонс] Программа для группировки ключевых слов KeyAssort от KeyAssort (Сервисы и SEO программы)
Re: Имеют ли вес покупные ссылки при теперешних правилах Яндекса от Lina7 (Раскрутка сайтов в поисковиках)
Свежие темы
Показать ещё
  Печать  
Страниц: 1 2
Автор

Тема: Кто понимает в htaccess (вирус)  (Прочитано 2196 раз)

0 Пользователей и 1 Гость смотрят эту тему.
Sunjulia
Offline Offline

Пол: Женский
Сообщений: 4313


C днем Победы!


Просмотр профиля
« : 08 Октябрь 2013, 17:20:24 »

На сайт залили вирус, я так поняла, через этот файл. Код вот такой (это в корне), не могу понять, что здесь лишнее:

##  Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

#
#  mod_rewrite in use

RewriteEngine On


########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension xml files
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
 
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root)
 
# RewriteBase /
 
 
########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section


Вирусы удаляла буквально 3-го числа. В каждой директории был пустой файл htaccess, теперь в них такой код, но это защита от подгрузки, как я понимаю:

<Files ~ ".(php)$">
Deny from all
</Files>

 нужна помощь нужна помощь нужна помощь
« Последнее редактирование: 08 Октябрь 2013, 17:24:17 от Sunjulia » Записан

Уважаемые деньги! Приглашаю вас на ПМЖ в мой кошелек. Он очень просторный и удобный, вам понравится. Можете пригласить своих братьев и сестер из Европы и Америки, места хватит всем!
Shadow
Offline Offline

Пол: Женский
Сообщений: 97



Просмотр профиля
« Ответ #1 : 08 Октябрь 2013, 17:23:44 »

Если есть предыдущий файл, или вытащи с другого  аналогичного сайта и сравни  их.
Записан

Дорогой Эдвард Каллен! Ты белый, как снег, холодный, как лед, ничего не ешь и боишься солнечных лучей. Признавайся, ты снеговик?
Sunjulia
Offline Offline

Пол: Женский
Сообщений: 4313


C днем Победы!


Просмотр профиля
« Ответ #2 : 08 Октябрь 2013, 17:27:11 »

Если есть предыдущий файл, или вытащи с другого  аналогичного сайта и сравни  их.
Согласна, но мне до этого в него вписывали код для защиты  В замешательстве

Вот из архива джумлы тот же кусок:

##  Can be commented out if causes errors, see notes above.

Options +FollowSymLinks

#

#  mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits

## If you experience problems on your site block out the operations listed below

## This attempts to block the most common type of exploit `attempts` to Joomla!

#

## Deny access to extension xml files (uncomment out to activate)

#<Files ~ "\.xml$">

#Order allow,deny
#Deny from all

#Satisfy all

#</Files>

## End of deny access to extension xml files
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode data within the URL
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
########## End - Rewrite rules to block out some common exploits


########## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
########## End - Custom redirects


#  Uncomment following line if your webserver's URL
#  is not directly related to physical file paths.
#  Update Your Joomla! Directory (just / for root)

# RewriteBase /

########## Begin - Joomla! core SEF Section
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} (/[^.]*|\.(php|html?|feed|pdf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
########## End - Joomla! core SEF Section
Записан

Уважаемые деньги! Приглашаю вас на ПМЖ в мой кошелек. Он очень просторный и удобный, вам понравится. Можете пригласить своих братьев и сестер из Европы и Америки, места хватит всем!
Shadow
Offline Offline

Пол: Женский
Сообщений: 97



Просмотр профиля
« Ответ #3 : 08 Октябрь 2013, 17:36:09 »

А вирус как себя проявляет?
Записан

Дорогой Эдвард Каллен! Ты белый, как снег, холодный, как лед, ничего не ешь и боишься солнечных лучей. Признавайся, ты снеговик?
Sunjulia
Offline Offline

Пол: Женский
Сообщений: 4313


C днем Победы!


Просмотр профиля
« Ответ #4 : 08 Октябрь 2013, 17:41:41 »

Касперский сайт у меня просто выключил.

Никаких файлов нет, сканером проверяла на хостинге, все в порядке. Но все htaccess изменены  убитца ап стену


Записан

Уважаемые деньги! Приглашаю вас на ПМЖ в мой кошелек. Он очень просторный и удобный, вам понравится. Можете пригласить своих братьев и сестер из Европы и Америки, места хватит всем!
Shadow
Offline Offline

Пол: Женский
Сообщений: 97



Просмотр профиля
« Ответ #5 : 08 Октябрь 2013, 17:52:30 »

Попробуй заметить все файлы  htaccess на оригинальные (те предварительно сохрани), посмотри что будет.
Записан

Дорогой Эдвард Каллен! Ты белый, как снег, холодный, как лед, ничего не ешь и боишься солнечных лучей. Признавайся, ты снеговик?
Sunjulia
Offline Offline

Пол: Женский
Сообщений: 4313


C днем Победы!


Просмотр профиля
« Ответ #6 : 08 Октябрь 2013, 18:18:42 »

Попробую.
Записан

Уважаемые деньги! Приглашаю вас на ПМЖ в мой кошелек. Он очень просторный и удобный, вам понравится. Можете пригласить своих братьев и сестер из Европы и Америки, места хватит всем!
Sunjulia
Offline Offline

Пол: Женский
Сообщений: 4313


C днем Победы!


Просмотр профиля
« Ответ #7 : 08 Октябрь 2013, 18:23:18 »

Тоже самое  убитца ап стену
Записан

Уважаемые деньги! Приглашаю вас на ПМЖ в мой кошелек. Он очень просторный и удобный, вам понравится. Можете пригласить своих братьев и сестер из Европы и Америки, места хватит всем!
juliett
Offline Offline

Пол: Женский
Сообщений: 17



Просмотр профиля
« Ответ #8 : 09 Октябрь 2013, 11:23:36 »

в хтакцесс на самом деле ничего особо подозрительного нет.
я тут погуглила по названию вашего вируса - жуткий зловред, оказывается. кодируется и прячется.
по этому запросу "heur trojan.script.generic" посмотрите - много тем на сайте касперского, только не ведитесь на предложния отправиться в тему "ложные срабатывания", это действительно вирус
Записан
Sunjulia
Offline Offline

Пол: Женский
Сообщений: 4313


C днем Победы!


Просмотр профиля
« Ответ #9 : 09 Октябрь 2013, 12:19:54 »

в хтакцесс на самом деле ничего особо подозрительного нет.
я тут погуглила по названию вашего вируса - жуткий зловред, оказывается. кодируется и прячется.
по этому запросу "heur trojan.script.generic" посмотрите - много тем на сайте касперского, только не ведитесь на предложния отправиться в тему "ложные срабатывания", это действительно вирус
В ложные срабатывания я не верю, если хоть какой-то сервис вирус показывает, значит, он есть. И нашелся  яхууу С 3 мая сидел, зараза, когда я компонент комментариев обновляла. Поэтому по дате и найти не могла.
Записан

Уважаемые деньги! Приглашаю вас на ПМЖ в мой кошелек. Он очень просторный и удобный, вам понравится. Можете пригласить своих братьев и сестер из Европы и Америки, места хватит всем!
juliett
Offline Offline

Пол: Женский
Сообщений: 17



Просмотр профиля
« Ответ #10 : 09 Октябрь 2013, 12:21:55 »

В ложные срабатывания я не верю, если хоть какой-то сервис вирус показывает, значит, он есть. И нашелся   С 3 мая сидел, зараза, когда я компонент комментариев обновляла. Поэтому по дате и найти не могла.
где был-то? в файлах плагина комментирования?
Записан
Sunjulia
Offline Offline

Пол: Женский
Сообщений: 4313


C днем Победы!


Просмотр профиля
« Ответ #11 : 09 Октябрь 2013, 12:24:21 »

Нет, в папке library, но судя по дате (мое мнение  стеснительный), попал туда именно с ним.
Записан

Уважаемые деньги! Приглашаю вас на ПМЖ в мой кошелек. Он очень просторный и удобный, вам понравится. Можете пригласить своих братьев и сестер из Европы и Америки, места хватит всем!
Sunjulia
Offline Offline

Пол: Женский
Сообщений: 4313


C днем Победы!


Просмотр профиля
« Ответ #12 : 19 Октябрь 2013, 16:39:28 »

Этим дело не закончилось, в итоге заказала профессиональную проверку в revisium. Нашли кучу всего лишнего, поставили защиту по многим направлениям. Дали реальный отчет более, чем из 10 пунктов и много рекомендаций по делу.
Записан

Уважаемые деньги! Приглашаю вас на ПМЖ в мой кошелек. Он очень просторный и удобный, вам понравится. Можете пригласить своих братьев и сестер из Европы и Америки, места хватит всем!
yasina
Offline Offline

Пол: Женский
Сообщений: 1542



Просмотр профиля
« Ответ #13 : 19 Октябрь 2013, 16:53:03 »

Этим дело не закончилось, в итоге заказала профессиональную проверку в revisium. Нашли кучу всего лишнего, поставили защиту по многим направлениям. Дали реальный отчет более, чем из 10 пунктов и много рекомендаций по делу.
И после их чистки айболит показвает, что чисто? А то у меня этот скрип вечно ссылается на файлы движка. Даже если сайт еще пустой, только движок стоит.
Записан
Sunjulia
Offline Offline

Пол: Женский
Сообщений: 4313


C днем Победы!


Просмотр профиля
« Ответ #14 : 19 Октябрь 2013, 17:26:03 »

Это создатели айболита. Айболитом не смотрела еще, но касперский не ругается. Файлы движка он показывает, если видит в них подозрительный код или уязвимости. Копирайт, например, разработчики прописывают через base64.
Записан

Уважаемые деньги! Приглашаю вас на ПМЖ в мой кошелек. Он очень просторный и удобный, вам понравится. Можете пригласить своих братьев и сестер из Европы и Америки, места хватит всем!
Страниц: 1 2
  Печать  
 
Перейти в:  

| Sitemap