Новая тема   Ответить

 mrSmith
Неизвестные злоумышленники добавляют редирект в htaccess файл. Саппорт хостинга говорит мол проверяй комп, дают антималваре проги для проверки и дают новые пароли. Комп проверил, угроз нет. Пароли не использовал еще, не успел. И вот с утра снова редиректит.
Подскажите чего делать то, чистить постоянно конечно можно но не выход. Как то можно этот htaccess защитить?

 FriMan
а куда редиректит?

 mrSmith
точно не записал но чтото вроде
sexymania.ro
ну или чтото похожее

 andreich
так блин для начало наверное надо пароли поменять
да и, дело может быть не в твоем компе, а в дырявости скриптов которые стоят у тебя на хостинге
залили тебе туда шелл и через него меняют .htaccess

 CrazyMen
Скрипты смотри дыра в них скорее всего. залили бекдор и щас хоть заменяйся пароли нисего не поможет. птойденый этап уже

 Noobus Boobus
TradePulse'ом не пользуешься?

 Semen_ssr
ВП темы типа фришные стоят?

 mrSmith
пароли сразу резетнули, не помогло, через пару часов снова залезли. сейчас вроде как все работает.
TradePulse даж не знаю что такое.
вп темы есть ага. и да, было давно, находили в теме "вирус", сейчас сапорт говорит все просканили и все ок. буду пытать их дальше.

 Franko
Попробуй сменить права на хтакцес chmod 444 .htaccess - только чтение или овнером поиграй, но не совсем понял что это у тебя сервер или просто виртуал хостинг

 andreich
WordPress какой стоит ?

 mrSmith
Franko писал:
несколько виртуалов подломали одновременно. пароли на всех разные были.
вордпресс в основном актуальный, но есть и несколько древних, сейчас обновляю. сапорту версии выдвинул, но говорят "по их опыту" либо через фтп клиента либо через почтовик скрысили пароли.

 Semen_ssr
У тебя тупо шелл в теме ВП.

 arachnO
+1 чекай тему на предмет бэкдора

 LOVE
на предмет каких "слов" можно файлы чекать незнакомые, чтобы автоматом сразу запустить штук 500 файлов, а не глазами смотреть?

 KriZiS
на форуме встречал советовали для быстрого поиска, а потом вручную просмотр файлов которые найдет

grep -RPni "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|eval|preg_replace) {0,1}\("/var/www/

 coder-code
А если по айпи ограничить доступ?

 rx
да, по айпи ограничить доступ посетителей к сайту. пусть звонять сообщают по телефону айпи, тогда пускать

+1 за шелл/бэкдор

 coder-code
бля...да фтп и шелл ограничить доступ по айпи

 rx
от шелла в теме ВП не спасет

 mrSmith
блять саппорт у хостгатора это что то с чем то. через день пишут что мол все ьпросканировали сервер чистый, потом другой чел пишет что нашел в вп малваре, удалил, все чисто. через день опять новый чел пишет что нашел еще малваре, удалил, и так по кругу
причем не в темах вп зараза сидит, а в инклуд файлах.
а один виртуал все также нагибают, уже по несколько раз за день... продолжаем биться. всем спасибо, попробую им донести идеи.

 st01en
Поставь вот этот плагин http://wordpress.org/extend/plugins/tac/
Он покажет зашифрованные куски в темах. Потом в инете найти онлайн расшифровщики и декодируй. И что значит в инклудах? Открыть и посмотреть что там админы не могут? Или сам посмотри, если чистый код - то вряд ли там что-то есть, а если закодирован, то тоже расшифровщиком.
Вполне может быть в коде вп встроена перезапись хтакцесса, если права у вп на запись стоят.
Еще, как вариант - поставь владельцем хтакцесса рута и дай право на запись только ему. Если все равно будет перезаписываться, то тогда проблема уже не вп, а в системе.

 rx
если пхп под тем же пользователем что и шелл то не показатель, к тому же шеллы/бэкдоры не обязательно так топорно себя ведут, обычно просто тихо мирно сидят, творят всякое

к слову, у кого-то есть интерес в серверном софте для поиска/удаления малвары на своих хостах?

 LOVE
rx писал:

ну наверно у всех есть интерес так или иначе. в любых системах безопасности упакованных как готовый продукт.

 mrSmith
в инклудах имел ввиду, что в вп-инклуд, в вп-админ даже нашли что то. все почистили и вроде день спокойно прошел тьфу тьфу тьфу

 seanx
В таких делах ни автоматизированные системы безопасности ни админы хостинга не помогают. Сталкивался неоднократно (сказать точнее многократно) с такими вещами, терял только время и деньги. Часто после попыток защититься сталкивался с вредительством. Знакомые вообще теряли проекты после попыток извести злоумышленников. Пока не нашёл именно специалиста в области безопасности , проблему побороть не удалось. В таких случаях необходим опыт и знания недоступные нам, простым смертным умеющим только созидать и строить. Человек счас мониторит всё моё хозяйство, я сплю спокойно а по утрам не бегу смотреть что случилось на этот раз с моими сайтами а сажусь подбивать бабос. В общем-то тоже самое советую сделать и вам. Удачи!