Formă nouă virus care văd ceea ce nu știu afectează foarte mult site-urile găzduite servere nesigure unde utilizatorii contului/sub-contului se pot „vedea” între ei. În special, conturile de găzduire sunt făcute toate în folderul " gazde virtuale„Scris și lege folderele utilizatorului„domeniile virtuale” sunt date utilizatorului general... reseller în majoritatea situațiilor. Aceasta este o metodă care nu utilizează servere web tipice WHM/CPanel.

Action.htaccess - Hack .htaccess

Virus afectează fișierele .htaccess victime ale site-ului web. Rânduri adăugate / directive La redirecționează vizitatorii(Pe baza Yahoo, MSN, Google, facebook, yaindex, Twitter, MySpace etc. site-uri și portaluri cu trafic mare) către unele site-uri care oferă „ antivirus. "Acest antivirus fals, despre care am scris în prefața la .

Iată cum arată .htaccess rănit :( Nu pot accesa liniile de link-uri de conținut de mai jos )

ErrorDocument 500 hxxp://www.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://www.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://www.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

Rescrierea motorului pornit

RewriteCond%(HTTP_REFERER). * Yandex. * $
RewriteCond%(HTTP_REFERER). * Colegi de clasa. * $
RewriteCond%(HTTP_REFERER). * In contact cu. * $
RewriteCond%(HTTP_REFERER). * Rambler. * $
RewriteCond%(HTTP_REFERER). *Tub. * $
RewriteCond%(HTTP_REFERER). *Wikipedia. *$
RewriteCond%(HTTP_REFERER). * Blogger. *$
RewriteCond%(HTTP_REFERER). * Baidu. *$
RewriteCond%(HTTP_REFERER). * qq.com. *$
RewriteCond%(HTTP_REFERER). * spatiul meu. *$
RewriteCond%(HTTP_REFERER). *Stare de nervozitate. * $
RewriteCond%(HTTP_REFERER). * Facebook. * $
RewriteCond%(HTTP_REFERER). *Google. * $
RewriteCond%(HTTP_REFERER). * Trăi. * $
RewriteCond%(HTTP_REFERER). * AOL. *$
RewriteCond%(HTTP_REFERER). *Bing. * $
RewriteCond%(HTTP_REFERER). *Amazon. * $
RewriteCond%(HTTP_REFERER). * Ebay. *$
RewriteCond%(HTTP_REFERER). *LinkedIn. * $
RewriteCond%(HTTP_REFERER). * Flickr. * $
RewriteCond%(HTTP_REFERER). * LiveJasmin. * $
RewriteCond%(HTTP_REFERER). * Asa si asa. * $
RewriteCond%(HTTP_REFERER). * dublu click. * $
RewriteCond%(HTTP_REFERER). *Pornhub. * $
RewriteCond%(HTTP_REFERER). *Orkut. * $
RewriteCond%(HTTP_REFERER). * Jurnal live. * $
RewriteCond%(HTTP_REFERER). * wordpress. * $
RewriteCond%(HTTP_REFERER). * Yahoo. * $
RewriteCond%(HTTP_REFERER). *Cere. * $
RewriteCond%(HTTP_REFERER). *Excita. * $
RewriteCond%(HTTP_REFERER). * Altavista. * $
RewriteCond%(HTTP_REFERER). *MSN. * $
RewriteCond%(HTTP_REFERER). * Netscape. * $
RewriteCond%(HTTP_REFERER). *Hotbot. * $
RewriteCond%(HTTP_REFERER). * Mergi la. * $
RewriteCond%(HTTP_REFERER). *cautare informatii. *$
RewriteCond%(HTTP_REFERER). * Mamă. * $
RewriteCond%(HTTP_REFERER). *Alltheweb. * $
RewriteCond%(HTTP_REFERER). * Lycos. * $
RewriteCond%(HTTP_REFERER). * Căutare. * $
RewriteCond%(HTTP_REFERER). *MetaCrawler. * $
RewriteCond%(HTTP_REFERER). * Poștă. * $
RewriteCond%(HTTP_REFERER). * Dogpile. * $

RewriteRule. *

RewriteCond%() REQUEST_FILENAME! -E
RewriteCond%() REQUEST_FILENAME!-D
RewriteCond%()*REQUEST_FILENAME Jpg$|!. *. Gif $ | *. PNG $
RewriteCond%(HTTP_USER_AGENT). *Windows*.
RewriteRule. *

Cei care folosesc WordPress vor găsi aceste rânduri în fișier .htaccess din public_html. În plus, virusul creează. htaccess în același folder conținut wp.

*Există și situații în care apare în schimb peoriavascularsurgery.com www.thesoulfoodcafe.com sau alte adrese.

Ce face acest virus.

Odată redirecționați, vizitatorii sunt întâmpinați cu brațele deschise de mesajul:

Atenţie!
Computerul conține diverse semne ale prezenței virușilor și malware. Sistemul dumneavoastră de protecție împotriva virusurilor are nevoie de o verificare imediată!
Sistemul de securitate va funcționa rapid și scanare gratuită computer pentru viruși și programe malware.

Indiferent de ce buton este apăsat, suntem duși la pagină” Calculatorul meu„Conceput pentru a imita Design XP. Aceasta începe automat o „scanare” la finalul căreia constatăm că este „infectată”.

După ce faceți clic pe OK sau Anulați, va începe Descarca Fișiere setup.exe. Acest setup.exe este un antivirus fals afectând sistemul. Instalarea unor programe malware pentru a răspândi link-uri suplimentare este compromisă și, pe lângă acestea antiviral software (toate false) pe care victimei i se oferă să-l cumpere.
Cei care au contactat deja virusul pot folosi acest formular. În plus, se recomandă scanarea întregului HDD. Recomanda Kaspersky securitatea internetului sau Kaspersky Anti-Virus.

Acest tip de virus infectează vizitatorul sistemului de operare OS Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98și windows 95. Până în prezent, nu sunt cunoscute cazuri de infecție în sălile de operație sisteme Windows Vista și Windows 7.

Cum putem elimina acest virus. htaccess pe server și cum să preveniți infecția.

1. Analiză fisiere suspicioaseși ștergerea codurilor. Pentru a vă asigura că fișierul nu este atins doar .htaccess Trebuie să vă analizați toate fișierele .php si . js.

2. Suprascrieți fișierul. htaccess și instalați CHMOD 644 sau 744 cu acces numai la scriere proprietarul utilizatorului.

3. La crearea cont găzduire pentru un site web într-un folder / Acasă sau /webroot Acest lucru va crea automat un folder care are adesea un nume de utilizator ( utilizator pentru cpanel, ftp etc.). Pentru a preveni scrierea datelor și transmiterea virușilor de la un utilizator la altul, se recomandă ca fiecare folder de utilizator să fie setat la:

CHMOD 644 sau 744, 755 - 644 prezentat.
Chown -R nume_user nume_folder.
CHGRP-R num_user num_folder

LS-toate modalități de a verifica dacă au fost făcute corect. Ar trebui să apară ceva de genul acesta:

Dinamica difuzoarelor dinamice drwx-x-x 12 4096 6 mai 14: dinamică 51 /
drwx-x-x 10 duran duran 4096 Mar 7 07:46 duran /
drwx-x-x 12 Tube Test Tube 4096 Jan 29 11:23 Tube /
drwxr-xr-x 14 Express 4096 26 februarie 2009 expres /
drwxr-xr-x 9 ezo ezo 4096 19 mai 01:09 ezo /
drwx-x-x 9 fermă 4096 fermă 19 22:29 fermă /

Dacă unul dintre utilizatorii FTP de mai sus Fișiere infectate Nu poate trimite un virus unui alt utilizator gazdă. Măsura minimă de securitate pentru a proteja conturile găzduite pe un server web.

Elementele comune sunt zonele afectate de acest virus.

Toate zonele afectate redirecționează vizitatorii către site-uri pe numele domeniului, conținând "/ main.php? e=4&h ".

Acest " virus. htaccess„Afectează orice CMS ( Joomla, WordPress, PHPBB etc.) folosind .htaccess.

. Htaccess Redirect Virus Hack &.

Malicious / Virus - .htaccess „rescrie” și redirecționează

Tratăm virusul de redirecționare a căutării în Joomla

Tratăm virusul de redirecționare a căutării în Joomla

28.04.2016

Când administrați site-ul Joomla, periodic trebuie să tratați sistemul după orice hack-uri. Unul dintre cele mai neplăcute este așa-numitul virus de redirecționare a căutării, când un site este spart de un shell, iar apoi sunt inserate inserții ale unei redirecționări de căutare, ca urmare, site-ul dvs. este afișat în motorul de căutare, dar redirecționează utilizatorul către site-uri porno sau islamice. Ca urmare, după tranziție, primiți următorul mesaj:

Apoi, un motor de căutare va începe să emită un mesaj similar că site-ul dvs. este infectat sau piratat. Și în Yandex, chiar zboară de pe pozițiile tale. Ca urmare, ați pierdut trafic, pierderi de clienți, lipsă de comenzi.

Procedura de recuperare.

1. Fă backup, Descarca.
2. Dacă nu există găzduire verificare antivirus, apoi rulați backup-ul descărcat cu un antivirus. Găsim fișierele virusului shell, în cazul meu este PHP.Shell.387. Acesta este un tip de virus care exploatează o „gaură” în securitatea sistemului de control.

3. Eliminați fișierele de viruși de pe găzduire.
4. Schimbați parolele în panoul de administrare, ftp
5. Deoarece căutarea troienilor nu are niciun efect și căutând manual unde a fost injectat codul PHP destul de mult timp și nu întotdeauna eficient, fac un mix de rezervă. Un mix este orice backup de fișier al site-ului înainte de introducerea virușilor, baza de date rămâne actuală, nu din backup, apoi luăm folderul din backup proaspăt imagini cu poze si un folder componentscom_jshoppingfilesimg_products unde sunt fotografiile produselor.
Concluzie: suntem multumiti de rezultat.
P.S. Ce să faci dacă nu există backup? sau angajați profesioniști pentru asta. Poate că o copie de rezervă a găzduirii va ajuta, dar este suprascris automat și, cel mai probabil, nu se va salva, deoarece va conține un virus.

Prevenirea ulterioară:

1. Economisirea nu ar trebui să fie economică. Schimbați sistemul de control dacă este posibil.
2. Schimbați cu siguranță găzduirea. Nu vă zgâriți cu asta. În practica mea, același Joomla a fost spart de două ori pe timeweb, dar aceasta este jumătate din problema. Cheia a fost că găzduirea nici măcar o dată pe trimestru nu face verificări antivirus ale serverelor lor. Recomand să folosiți o gazdă care face o verificare zilnică antivirus și este disponibil și un serviciu gratuit pornire manuală verificare antivirus. De exemplu, acesta este reg.ru
3. Nu salva parolele FTP.

Niciun proprietar de site nu dorește ca traficul de pe site-ul său să treacă printr-o redirecționare către site-uri necunoscute - acest lucru nu prezintă interes pentru clienți, subminează încrederea clienților și provoacă sancțiuni motoare de căutare si antivirusuri.

În acest articol, voi lua în considerare principalele opțiuni pentru încorporarea redirecționărilor virale.

Atenţie! Prin ștergerea unei redirecționări, ștergeți doar consecința, pentru ca situația să nu se repete, ar trebui să căutați cauza virușilor pe site!

În plus, redirecționările rău intenționate sunt detectate slab de scanere și antivirusuri, ceea ce necesită adesea căutarea manuală a sursei răului.

În primul rând, căutăm să inserăm cod în fișiere .htaccess, mai ales la rădăcina site-ului

Tot ce este legat de Rescrie merită verificat unde redirecționează.

Mai jos voi da câteva inserții rău intenționate - care creează uși și mii de pagini în căutare, așa-numitul spam japonez (seo-spam, pagini cu hieroglife - există multe nume):

Rescrierea regulii ^([^\d\/]+)-(+)-(+)%(.*)+%+%([^\d\/]+)+%(.*)+%+%( [^\d\/]+)+%(.*)+%+%([^\d\/]+)([^\d\/]+)%(.*)+%+%+% (.*)+%+%(.*)F%(.*)+%(.*)+%([^\d\/]+)(+)%(.*)+%+%+% +%(.*)+%(.*)+%([^\d\/]+)+%(.*)+%+%+%(.*)+%+%+%(.*) +%(.*)+%+%(.*)+%([^\d\/]+)(.*)%(.*)+%(.*)+%(.*)(.*) )%([^\d\/]+)F%(.*)+%+%([^\d\/]+)+%(.*)+%+%+(+)%(.*) )+%+%(.*)(.*)%(.*)+%+%([^\d\/]+)+%(.*)+%+%(.*)([^\ d\/]+)%(.*)+%(.*)+%(.*)(+)%(.*)+%(.*)(.*)%+(.*)%(. *)+%+F%(.*)F%(.*)+%+%([^\d\/]+)(+)%(.*)+%+%(.*)([^ \d\/]+)%+\/.*..*$ ?65$39$=62$&%(QUERY_STRING)[L]

Rescrierea regulii ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*-.*-F.*-([^\d\/ ]+).*-+..*$ ?$7$1=$3&%(QUERY_STRING)[L]

Rescrie regula ^(+)\/([^\d\/]+)(+)(+)+%+([^\d\/]+)+%+(+)+%+([^\d \/]+)+%+(+)+%+([^\d\/]+)+%+(+)+%+([^\d\/]+)(+)%+(+ )+%+%+(+)+%+([^\d\/]+)-.*-+..*$ ?15$$1=$14&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)-+.*+..*$ ?$1$3=$2&%(QUERY_STRING)[L]

Rescrierea regulii ^(+)\/([^\d\/]+)(+).*HM+L.*+.*+N.*+YW.*+.*+.*(+)+.* +F.*W+.*+.*F+ZW.*HR.*(.*)--$ ?$2$10=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+).*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+).*..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Rescrie regula ^(+)\/([^\d\/]+)(+).*(+).*L+N.*YXJ.*HJ.*WF.*+.*Y+.*(.* ).*R.*Y.*V.*+Q.*$ ?$2$1=$4&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)\/$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+).*(+).*L+.*+.*+YW.*+.*+.*(+)+-$ ? $2$8=$4&%(QUERY_STRING)[L]

Rescrierea regulii ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*% +F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]

Rescrie regula ^(+)\/([^\d\/]+)(+).*HM+L.*+.*F+ZW.*WF.*+.*Y+.*(*.*). ZG+.*ZXN+.*WN.*ZH(*$ ?$2$1=$3&%(QUERY_STRING)[L]

Rescrie regula ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)$ ?36$$1=$35&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+$ ?$1$3=$4&%(QUERY_STRING)[L]

Rescrierea regulii ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*....*%+F.*-.*-.*-.*- .*%+F$ ?$2$1=$3&%(QUERY_STRING)[L]

Rescrierea regulii ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-+-.*-.*-. *-.*-.*%+F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)_+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/.*-.*-+-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/+.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)(.*)+%+%+-.*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)-.*-V.*%+(.*)+%+%+.*-S.*+..*$ ? $2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/.*-.*-+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)-+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)..*&.*=.*\:\/.*-+..*\/.*-.*-.* -.*-.*-.*\/&.*=+K([^\d\/]+)&.*=%(+)+%(.*)+%(+)+%([ ^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+%(+)+%([^\ d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([^\d\/]+)+ %(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^ \d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+) +%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\ d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)F%(+)+%( [^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+%(+)+% ([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+) %(+)+%([^\d\/]+)+&.*=+&.*=+&.*=+&.*=.*\:\/.*+....*... *..*\/.*\?.*=OIP.(*U.*+.*(+).*U.*+.*+V+.*Q(.*). +).*&.*=+.+&.*=+&.*=+&.*=+&.*=+&.*=+&.*=%(+)+%(.*) +%(+)+%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([ ^\d\/]+)+%(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%( [^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+% ([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)% (+)+%([^\d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+ )F%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+) +%+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\ d\/]+)(+)%(+)+%([^\d\/]+)+&.*=+.*+.*&.*=+.*+.*&.*= +.*+.*&.*=+.*+.*+.*&.*=+.*+.*+.*$ ?148$146$=147$&%(QUERY_STRING)[L]

Rescrierea regulii ^(+)\/([^\d\/]+)(+)%([^\d\/]+)+%(+)+%([^\d\/]+)+% (+)+%([^\d\/]+)+%(+)+%+%(+)+%+([^\d\/]+)&.*=+&.*=+ $ ?$11$1=$10&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+% .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/$ ?$2$1=$3&%(QUERY_STRING) )[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%.*%.*+%.*%.*+%.*+%.*+%.*%.*+% +.*\/$ ?$2$1=$3&%(QUERY_STRING)[L]

Rescrierea regulii ^([^\d\/]+)-(+)-(+)$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)\/.*-.*\/+\/.*$ ?$2$1=$3&%(QUERY_STRING)[L]

Rescrie regula ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)\/.*\/+\/$ ?$36$1=$35&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+\/$ ?$1$3=$4&%(QUERY_STRING)[L]

Rescrierea regulii ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)+%+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+% +%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+ %([^\d\/]+)(+)&.*=-+&.*=-+$ ?49$ 38$=50$&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/.*-.*-.*-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Rescrierea regulii ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)++%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+% ([^\d\/]+)(+)&.*=-+&.*=-+$ ?49$ 38$=50$&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/+.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+% .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/.*\/+\/$ ?$2 $1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)&.*=-+$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)&.*=+$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*\/$ ?$1$3=$4&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*..*$ ?$2$1=$3&%(QUERY_STRING)[ L]

RewriteRule ^([^\d\/]+)-(+)-(+)..*$ ?$1$3=$2&%(QUERY_STRING)[L]

Rescrierea regulii ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%([^\d\/]+ )([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+)+ %+([^\d\/]+)\/$ ?15$$1=14$&%(QUERY_STRING)[L]

Rescrie regula ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)\/$ ?36$$1=$35&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Rescrierea regulii ^(+)\/([^\d\/]+)(+)$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)-+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)-.*\/\?.*=+$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Dacă vedeți așa ceva - îl puteți șterge în siguranță, dacă aveți îndoieli ce linii puteți lăsa, atunci luați fișierul standard al CMS-ului dvs. - nu va exista niciun virus acolo!

De obicei, redirecționările sunt prescrise pentru solicitările de pe dispozitive mobile și tablete:

android|plucker|pocket|psp|symbian|treo|vodafone|wapși alte variante ale antetelor mobile

în ceea ce privește tranzițiile de la motoarele de căutare:

yandex|google|mail|rambler|vk.com

Dacă acest articol nu a ajutat, atunci ar trebui să acordați atenție codului paginii - uneori o redirecționare este adesea adăugată prin Javascript

Pentru a scăpa de codurile rău intenționate, este posibil să fie necesar să le înlocuiți pe toate .js fișiere.

Asigurați-vă că verificați fișierele index și folderul șablon - acestea sunt locurile preferate de hackeri pentru viruși. Parcurgeți fișierele cu deosebită atenție. index.php, footer.php, head.php, header.php- recent a devenit popular să plasați virușii înșiși nu în ei, ci sub formă de link-uri. Prin urmare, verificați cu atenție ce fișiere sunt încărcate folosind comenzi includeȘi cere.

Cele mai sofisticate inserții sunt deja realizate în module încărcate, pluginuri și componente. Acestea pot fi fie module încorporate separat (mai ales dacă panoul de administrare a fost piratat), fie pur și simplu inserând cod criptat în fișiere cu extensii cunoscute și populare.

De exemplu, în ultima vreme am întâlnit mai mult de un site pe jumle(în special pe Joomla 2.5), unde pe parcurs include/inc.class.php virusul în sine este localizat, iar următoarea linie este inserată în fișierul application.php din același folder

require_once($_SERVER["DOCUMENT_ROOT"]."/includes/inc.class.php");

De obicei, în paralel cu aceasta biblioteci/joomla/aplicație există un virus de redirecționare numit joomla-app.php

În orice caz, dacă observați o redirecționare către un site terță parte pe site, atunci cu siguranță ar trebui să luați măsuri de securitate și să verificați întregul site. Dacă nu o puteți face singur, atunci cu siguranță ar trebui să contactați specialiști în eliminarea virușilor și protecția site-ului.

Salutare tuturor. Acest scurt articol se va concentra pe protejarea blogului dvs. WordPress de viruși și troieni, cum ar fi Redirecționare mobilă, el este JS:Redirector-MC. Poate fi detectat folosind antivirus AVAST si browser-ul OPERA, alti antivirusuri nu il vad inca, repet, nu il vad inca.

Dacă ai observat acest virus pe blogul tău, aici nu este nimic de îngrijorat, acum te voi învăța cum să faci față acestei boli. La intrarea pe site sub browser Opera ați văzut fereastra „Trojan blocat”, infecție „ JS: Redirector-MC” aceasta este redirecționarea noastră mobilă.

O vom trata în felul următor.

Deschideți fișierul functions.php și în partea de jos puteți găsi următorul cod:

Sarcina noastră este să eliminăm acest cod.

Puteți face acest lucru în mai multe moduri:

1. Ștergeți codul manual.
2. Găsiți o copie a fișierului functions.php și încărcați din nou pe găzduire

După ce eliminați acest cod, verificăm blogul nostru pentru special servicii on-line, dacă există încă în același timp pe blog.

Probabil că aveți întrebări despre de unde a venit acest virus. Am scotocit pe internet și am găsit un răspuns care nu m-a făcut foarte fericit, îl scot ca pe un ecran.

Din cele citite, putem concluziona că nici serviciul nostru WordPress nu este 100% sigur.

Am prins acest virus pe 2 bloguri, va sfatuiesc sa va verificati blogurile pentru virusi, in special cei gazduiti de Timeweb.

Dacă virusul nu este detectat la timp, blogul tău poate cădea rapid pe poziții, vor exista un procent mare de eșecuri, în general, nimic bun nu te așteaptă.

După eliminarea virusului, vă sfătuiesc:

1. Actualizați WordPress
2. Schimbați parola FTP
3. Schimbați parola de găzduire
4. Faceți o scanare completă a computerului pentru viruși

Dacă blogul tău a fost spart, am scris deja despre asta. Cel mai important este să observi și să neutralizezi la timp. Dacă ceva nu funcționează sau nu este clar, vă rugăm să mă contactați pentru ajutor.