[Помогите] Появляется htaccess с вредоносным кодом

Тема в разделе "OpenCart", создана пользователем winner7, 17 июн 2013.

  1. winner7

    winner7

    Регистрация:
    6 мар 2013
    Сообщения:
    322
    Симпатии:
    55
    Мужики, выручайте!
    Обнаруживаю на хостинге (hts.ru) в своих сайтах htaccess с редиректом на левый сайт. Обнаруживаю htaccess в корневой папке сайта, в папке admin и download.
    Сайты на опенкарте.
    Такое уже второй раз за неделю. Первый раз все почистил, запаролил доступ ко входу в админку с помощью htaccess, но вот опять такая пежня вылезла.
    Не знаю на что думать, то ли вирус на хостинге, то ли шелл кто-то залил, то ли еще чего.
    Хостинг бегом менять или файлы опена перелопачивать...
    Если шелл, то как его найти, и в какую дыру его могли залить, может кто сталкивался с такой проблемой?
    Вот что прописано в вреднонсном htaccess
     
  2. Serkist

    Serkist

    Регистрация:
    8 фев 2013
    Сообщения:
    350
    Симпатии:
    72
    я тоже сайт держу на hts, но такого, слава богу, не видел.
    попробуй посмотреть логи доступа к сайту.
    доступа к htaccess там не будет наверное, но может что-то увидишь подозрительное.
    по времени фильтруй - смотри час до/после заливки модифицированного htaccess.
     
  3. dbunt1tled

    dbunt1tled

    Регистрация:
    18 фев 2013
    Сообщения:
    233
    Симпатии:
    44
    ну начни с выставлением прав на файлы меня тоже пару раз ломали
    права 755 на папки
    644 на файлы
    604 .htaccess
    600 config.php
    точно не помню надо проверить тк когда сильно права обрезаешь там можно вообще ограничить доступ к выводу в браузере
    и я бы такой что чтоб вообще закрыть доступ к папке download
     
    KIa87 и winner7 нравится это.
  4. Alexxcha

    Alexxcha

    Регистрация:
    21 ноя 2012
    Сообщения:
    130
    Симпатии:
    36
    Смотрите логи доступа по ftp, а так же смотрите в параметрах панели управления хостингом автовыполняемые скрипты.
     
    winner7 нравится это.
  5. winner7

    winner7

    Регистрация:
    6 мар 2013
    Сообщения:
    322
    Симпатии:
    55
    в параметрах панели управления хостингом автовыполняемые скрипты - это как?
     
  6. Alexxcha

    Alexxcha

    Регистрация:
    21 ноя 2012
    Сообщения:
    130
    Симпатии:
    36
    В панели управления хостингом как правило есть возможность прописать скрипт который будет автоматически запускаться в определенное время - например таким образом работает кеширование баз для IncreasePageSpeed.
    Следовательно разбираетесь кто к вам мог проламываться по ftp, и кто мог получить доступ к панели управления хостингом и задать такой скрипт - в котором скорее всего просто прописаны те изменения которые вносятся в htaccess - хотя подозреваю что изменения может и не вносятся - просто файл htaccess в определенное время заменяется своей ипсравленной копией - т.е. происходит перезапись...
    Как уже было сказано выше попробуйте внести изменения в файл, а потом задайте ему - для начала 0644 - если после изменения прав доступа редирект снова появится - значт уже более менее понятно в какую сторону копать... Ибо - 644 - это открытое чтение для всех - но запись только для создателя....
     
  7. blackfm

    blackfm

    Регистрация:
    29 янв 2013
    Сообщения:
    181
    Симпатии:
    34
    еще на всякий пожарный поменяйте пароли к фтп
     
  8. ulikiev

    ulikiev

    Регистрация:
    3 фев 2013
    Сообщения:
    102
    Симпатии:
    29
    и хостинг на всякий случай поменяйте, могут сам хостинг ломать
     
  9. Serkist

    Serkist

    Регистрация:
    8 фев 2013
    Сообщения:
    350
    Симпатии:
    72
    ну вы сейчас насоветуете, и хостинг поменять, и перейти на самописный движок или вообще не создавать сайты.

    Автору - поменяйте пароли на всякий случай и анализируйте логи доступа.
     
    winner7 нравится это.
  10. ulikiev

    ulikiev

    Регистрация:
    3 фев 2013
    Сообщения:
    102
    Симпатии:
    29
    ну еще скажите что такого не может быть. была похожая ситуация и пароли менял и то и сё все равно файлы изменяли

    Слышал были проблемы у FileZilla с безопасностью паролей
     
    winner7 нравится это.
  11. winner7

    winner7

    Регистрация:
    6 мар 2013
    Сообщения:
    322
    Симпатии:
    55
    А что за проблемы с файлзиллой? Я как раз ею пользуюсь
     
  12. Bnopen

    Bnopen Команда форума

    Регистрация:
    3 мар 2013
    Сообщения:
    1.155
    Симпатии:
    514
    winner7, если есть шел или дырки в скриптах так и останутся, то код будет появляться снова и снова. Какая панель управления на хостинге? В ispmanager есть возможность проверить аккаунт антивирусом самому. Если нет, то напишите в поддержку хостинг и запросить просканить ваш акакунт clamav и предоставить отчет.
    На сам файл htaccess можете поставить права 444.
    Проблема есть в каждом фтп-клиенте - нельзя хранить пароли на фтп в клиенте, т.к. вирусами эти пароли и уводятся.
    Ну и напоследок, может это поможет найти шелл или гадость какую-то
     
    winner7 нравится это.
  13. blackfm

    blackfm

    Регистрация:
    29 янв 2013
    Сообщения:
    181
    Симпатии:
    34
    отличный скрипт, уже пару раз спасал от шелов и другой гадости. Кстати там еще и есть полная проверка (я сам не зразу дочитался ) )
     
    winner7 нравится это.