Задать вопрос
@ligisayan

Вирус на сайте, который плодит файлы редиректов htaccess — как избавиться?

Всем привет! На сайт с движком джумлы пробрался вирус, который наплодил ~500 редиректов вида с сотнями строк:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
...
RewriteRule .* http://portal-c.pw/XcTyTp [R,L]
RewriteEngine on


Как избавится от вируса и автоматизировать процесс удаления вирусных .htaccess ?
  • Вопрос задан
  • 777 просмотров
Подписаться 1 Оценить Комментировать
Решения вопроса 2
@selo
# Блокируем любой скрипт пытающийся отправить через base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
 
# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
 
# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
 
# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
 
# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
Ответ написан
shambler81
@shambler81 Куратор тега htaccess
Качаешь запускаешь с консоли, можно через пхп собственно но я бы с консоли лучше запускал.
Дальше ждешь когда просканит
открываешь статистику.
Удаляешь вирусы согласно написаному.
ТАм будут и файлы и место.
если сам не сможешь написать скрипт по удалению кидай лог сюда, только регуляркой замени домен на site.ru - дабы люди ушлые не воспользовались.
revisium.com/ai/index.php?q=8271542351504877357110...
че за зверь такой читаешь тут
https://revisium.com/ai/
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы