На мой хостинг проник вредоностный шелл, который перезаписывает htaccess — как уберечься в будущем?

Question

[ligisayan]

Приветствую. Столкнулся с проблемой - на мою учетку хостинга проник бэкдор шелл, который перезаписал все файлы htaccess на сайтах и теперь с мобильных устройств постоянно редиректит на посторонние сайты. перезапись файлов с правами 644, к сожалению, ничего не дает - через 30 минут файлы снова перезаписываются...(((
к сожалению, дату точную не знаю, когда это произошло - заметил на выходных.
Может быть, кто уже справлялся с паразитом подобного рода и знает, что делать?

заразу обнаружил (пролезла в встроенном плагине tinymce.com compat3x) и вытравил! спасибо айболиту и почистил хвосты.
Вопрос теперь: как защититься на будущее и закрыть дыру? движки сайта wordpress, обновил до последней версии - плагины наподобие AntiVirus подойдут или не спасут от шеллов?
Кто подскажет хороший способ защиты, чтобы с большой долей вероятности не возникало такой проблемы вновь - тому отмечу решение

Answer 1

[ligisayan]

Выручил скрипт Айболита
проблема была в редиректах из .htaccess

Answer 2

[nirvimel]

Стереть все под корень и перезалить.

Answer 3

[quakin]

Когда такое случилось у меня, я сделал вот так
1) скачал файлы сайта по FTP на локальный компьютер
2) проверил их антивирусом (использовал бесплатную утилиту от drWeb), получил список заражённых файлов; убедился что в списке не было "заражённых" полезных файлов, были лишь левые файлы
3) удалил заражённые файлы на сервере, проблема решилась.
Сожалею лишь, что не смог обнаружить источник зловреда.

Answer 4

[kstyle]

manul от yandex не пробовали?

Comments

[ligisayan]

kstyle пробовали, но каждый раз проверка останавливается на пол пути и говорит, что не может получить доступ к серверу...

[kstyle]

ligisayan: так выкачайте на компьютер и запустите с локального сервера.

Answer 5

[Владимир Мартьянов]

Если вам плевать на результаты - можете сканировать, применять какие-то скрипты по замене чего-то и так далее. Ни один из этих методов не дает гарантии обнаружения всей заразы. Гарантированный метод избавления - стереть все и накатить заведомо чистые копии, как уже написано выше. Главное чтобы копии были чистые, а не с уже залитыми шеллами :-)

Comments

[ligisayan]

Владимир Мартьянов ну и как вы себе представляете чистые копии? тем более, что это проблема всего акка..

[Владимир Мартьянов]

ligisayan: А в чем, простите, проблема чистой копии? Если в том что ее нет - ненулевые шансы на повторение истории снова и снова.

[ligisayan]

Владимир Мартьянов даже если и есть - как узнать, что она чистая? и что делать, если мы "как-то определили" что копия чистая, но месячной давности за время которой сайт(-ы) неоднократно модифицировались?

[Владимир Мартьянов]

ligisayan: В вашей ситуации, похоже, нет копий которым вы можете доверять. Значит, нет и способа все плохое убрать, а все хорошее оставить.

[ligisayan]

Владимир Мартьянов сомневаюсь!.. вопрос только во времени и способе очистки

Answer 6

[Sanes]

chmod 444 .htaccess

Comments

[ligisayan]

Sanes не понял, поясните - предлагаете права выставить 444?

[Sanes]

ligisayan: да, попробуйте, раз не можете пакостника вычислить