Htaccess что за вирус

Про жизнь, путешествия, вкусную еду, технологии, веб-разработку и Drupal

Природа площадок сразу же намекнула на то, что виной всему происходящему — некий вирус (а не Яндекс).

Поскольку симптомы в данном случае были похожие, то первым делом я пошёл проверять .htaccess и увидел там примерно следующее:

Соответственно, если столкнетесь с подобным, то смотрите дату/время последнего изменения .htaccess (ни в коем случае сразу же не бросайтесь его очищать и пересохранять), затем просите у хостера (если сайт на shared-хостинге) FTP-логи за период вокруг момента заражения. По логам выясняйте, что ещё делал тот же злобный IP-адрес, с которого поправили .htaccess .

1. Искать PHP-shell по всей структуре сайта. Если shell был внедрён, то смена FTP-пароля — не поможет (добавлять вредные правила в .htaccess вам и дальше продолжат через shell).
2. Обновлять CMS и прочий софт.

Профилактика: ещё раз повторим общеизвестные правила защиты от вирусов и троянов

Самые популярные причины попадания вируса на сайт:

1. Не использовать простые пароли, которые треснут как орешек за пару часов ненавязчивого перебора.
2. Не держать в открытом не зашифрованном виде пароли локально, иметь и обновлять антивирус.
3. Обновлять CMS и фреймворки, на которых построен сайт, до актуальных версий.
4. Всегда иметь работоспособный бэкап. Для этого, обычно, достаточно иметь резервную копию месячной, недельной и суточной давности, проводя раз в квартал её тестовое разворачивание.

А ещё такой вирус не страшен сайтам, работающим целиком на nginx без Apache 🙂

Кроме осады .htaccess этот вирус и его родственники умеют прописываться во всех поголовно php-файлах.

Чтобы запутать неопытного веб-мастера код вируса упаковывается примерно таким образом:

На выходе при исполнении файла (и декодировании всей этой беды) получаем всё те же редиректы, только средствами PHP, а не веб-сервера.

find ./ -type f -exec sed -i 's/eval(base64_decode(\"DQplcn[^;]*;//g' <> \;

Если имеется SSH доступ к серверу, то запустить всё это можно прямо там (иначе — надо будет скачать все файлы к себе, полечить локально, залить обратно).

[…] тут, кстати, Алексей Костин написал отличную статью по борьбе с вирусами в .htaccess Леш, я честно твою статью через поиск нашла и она — […]

Andr435
Дек 23, 2012 @ 20:55:37

Павел
Янв 05, 2013 @ 01:03:01

Irshat
Янв 13, 2013 @ 12:59:23

Большое спасибо. Вычистил все php одной командой find от eval(base64_decode все свои сайты на одном хостинге

alex
Июл 09, 2013 @ 11:07:15

Подтверждаю, сайты на Majordomo заразились этой гадостью, смена ftp паролей, учетных данных, e-mail, чистка левого кода, заливка из бэкапа оригинальных файлов, настройка прав доступа — все в пустую, сайты вновь редиректят мобильный траффик на различные sms и сайты с вирусами. Сайтов более 50 различных тематик, разных клиентов, на одной системе управления с аналогичными настройками, та часть, которая расположена у Majordomo — стабильно страдает этой фигней. Majordomo — небезопасный хостинг!

kostin
Июн 04, 2014 @ 10:21:31

> на одной системе управления с аналогичными настройками
Так может дырка в ней, а не в хостинге?

Dima_Bedny
Июн 04, 2014 @ 10:17:26

Приветствую Как конкретно чистил файл .htaccess? Обьясните пожалуйста!

kostin
Июн 04, 2014 @ 10:19:47

Как конкретно чистить — зависит от конкретного файла. Откройте его в текстовом редакторе и ищите там, для начала, глазками редиректы на посторонние домены.

Dima_Bedny
Июн 04, 2014 @ 10:43:27

файл .htaccess! Просто в редакторе удалить строки или как?

kostin
Июн 04, 2014 @ 10:45:10

У вас в файле .htaccess могут быть несколько иные инъекции, чем описаны в статьи. Но в любой инъекции будут редиректы на внешний рекламно-вирусный сайт. Ищите, удаляйте, сохраняйте. Если инъекции снова появятся, значит где-то у вас сиди шелл, через который их присаживают.

Dima_Bedny
Июн 04, 2014 @ 10:50:00

kostin
Июн 04, 2014 @ 10:53:36

Dima_Bedny
Июн 04, 2014 @ 10:59:06

Осталось только:
RewriteEngine on

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond % !-f
RewriteCond % !-d
RewriteRule . /index.php [L]

kostin
Июн 04, 2014 @ 11:08:51

Коли у вас Вордпресс, то скачайте уже себе дистрибутив акутальной версии, достаньте оттуда .htaccess и замените ваш на дефолтный. А также обновите сам Вордпресс. 95% что где-то у вас сиди шелл, который всё равно потом .htaccess перезапишет, если вы шелл не прибьёте. Помочь вам в охоте на шелл может модуль Anti-Malware by ELI (Get Off Malicious Scripts), только не мучайте меня вопросами по использованию модуля. И сделайте бэкап.

Dima_Bedny
Июн 04, 2014 @ 11:11:35

Спасибо огромное все теперь ясно.

Vladimir
Авг 23, 2014 @ 17:45:02

Добрый день!
До недавнего времени был на моем сайте редирект с мобильных устройств, теперь ещё и с обычных. Никак не могу найти — где вирус засел.

text/x-generic .htaccess
ASCII English text

#php_value display_errors Off

##
# @package Joomla
# @copyright Copyright (C) 2005 — 2013 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##

##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: ‘Options +FollowSymLinks’ may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url’s. If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
#Options +FollowSymLinks

## Mod_rewrite in use.

## Begin — Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond % base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a tag in URL.
RewriteCond % (|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond % GLOBALS(=|\[|\%[0-9A-Z]<0,2>) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond % _REQUEST(=|\[|\%[0-9A-Z]<0,2>)
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End — Rewrite rules to block out some common exploits.

## Begin — Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End — Custom redirects

##
# Uncomment following line if your webserver’s URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

## Begin — Joomla! core SEF Section.
#
RewriteRule .* — [E=HTTP_AUTHORIZATION:%]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond % !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond % /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn’t directly match a physical file
RewriteCond % !-f
# and the requested path and file doesn’t directly match a physical folder
RewriteCond % !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End — Joomla! core SEF Section.

Подскажите пожалуйста — здесь не спрятан ли вирус?

Заранее огромное спасибо!

Константин
Мар 26, 2015 @ 18:51:39

Благодарочка!
Правлю я .htaccess, а он мне назад его откатывает))))
Спасибо за подсказку!

Виктор
Янв 04, 2017 @ 14:50:54

kostin
Янв 26, 2017 @ 14:26:54

Если происходит редирект, то это не обязательно означает, что он прописан именно в .htaccess (вирус может вшить редиректы и, например, в php-файлы ядра, модулей, темы). Ищите везде. Для Вордпресса вам в поисках поможет плагин — gotmls

Сергей
Июл 25, 2017 @ 11:04:47

Добрый день Kostin! Подскажите, пожалуйста, существует ли плагин для MODx, аналогичный Anti-Malware by ELI для Вордпресс?

Александр Коховец
Апр 20, 2018 @ 16:24:20

Здравствуйте поможете с лечением за денежку? у меня друпал, емайл qwerdie@mail.ri

Сергей
Июл 25, 2017 @ 11:03:49

Добрый день Kostin! Подскажите, пожалуйста, существует ли плагин для MODx, аналогичный Anti-Malware by ELI для Вордпресс?

Charlestyday
Мар 16, 2019 @ 21:49:44

hOur company offers weight loss products. Look at our health contributing portal in case you want to look better. Our company offers supreme quality health and related products. Take a look at our health contributing website in case you want to look better. Our company offers a wide variety of non prescription products. Take a look at our health site in case you want to to feel healthier with a help of generic supplements. Our company provides a wide variety of non prescription products. Take a look at our health portal in case you want to to feel healthier with a help of generic supplements. Our company provides herbal weight loss products. Look at our health contributing site in case you want to feel better. Our site offers a wide variety of non prescription drugs. Look at our health portal in case you want to to feel healthier with a help generic supplements.
Our company offers safe healthcare products. Visit our health contributing website in case you want to improve your health. Our company provides generic supplements. Visit our health contributing website in case you want to feel better. Our company provides a wide variety of non prescription drugs. Visit our health website in case you want to to feel healthier with a help of general health products. Our company offers safe health and related products. Look at our health contributing website in case you want to strengthen your health. Our company offers a wide variety of general health products. Take a look at our health contributing website in case you want to feel better.

Это действительно полезный
совет, особенно для тех, кто новичок в этом вопросе 😉

Большое спасибо за ваши удивительные статьи…

Я действительно наслаждаюсь чтением!

Вы, оказывается, превосходный писатель:
) Я уверен, что сохраню ваш веб блог в избранном, и в ближайшем будущем сюда вернусь!
Продолжайте свою высококачественную работу.
Приятного вечера:)

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

• Drupal (6)
• Веб-разработка (9)
• Железо (1)
• ЗОЖ (1)
• Маркетинг (4)
• На злобу дня (8)
• Обзоры (1)
• Полезняшки (1)
• Политика (1)
• Приготовление пищи (2)
• Путешествия (16)
• Разное (8)
• Софт (1)
• Спорт (2)

Всем привет! С Новым годом и Рождеством!

Первую статью этого года хочу посвятить безопасности ваших сайтов. При чем здесь Browser redirect, спросите вы? Да все начинается с зараженных сайтов, а сайты заражаются не только в сети, при помощи различных скриптов злоумышленников, но и локально, от ваших компьютеров, на которых вы открываете сайты для редактирования и внесения на них какой-либо информации, будь то статья в блог или новость на корпоративном сайте.
У меня последнее время участились случаи обращения клиентов, с просьбами удалить вредоносный код с их сайтов. Дело, скажу я вам, не простое и не всегда возможно вычистить код полностью.

А вот если все запущено до такого состояния, что сайт заблокирован хостинг провайдером за рассылку спама или еще какой гадости, то здесь уже придется попотеть. Чтобы самим не доводить до такого (от злоумышленников вас никто не спасет) нужно соблюдать несколько правил безопасности ваших сайтов:

Есть несколько причин, почему у вас появился браузерный редирект, однако, скорее всего, это следствие компьютерного вируса. Браузерные вирусы не являются чем-то новеньким, разработчики вредоносных программ используют эту технику в течение многих лет, чтобы генерировать трафик на свои сайты или сайты клиентов, с которых они будут получать комиссию или какой-то доход.

Так какой же тип инфекции может вызвать такого рода перенаправления? Это могут быть DL4 rootkits, bootkits, которые будут инфицировать главную загрузочную запись (Master Boot Record), а так же вредоносные дополнения к браузеру. Такой тип инфекций предназначен специально для того, чтобы заработать деньги. Он генерирует веб-трафик, собирает сведения о потенциальных клиентах для других сомнительных сайтов, пытается всячески обмануть жертву, заставить платить за бесполезный софт.

Некоторые виды вредоносных программ не позволят вам запустить ниже перечисленные утилиты и сканеры, пока система запущена в обычном режиме. Если это произойдет, рекомендуем вам запустить компьютер в безопасном режиме с загрузкой сетевых драйверов и попробовать оттуда выполнить сканирование.
Но я рекомендую вам сперва попытаться выполнить указанные ниже сканирования, когда компьютер находится в обычном режиме и только в случае, если у вас возникают проблемы, вы должны попробовать запустить компьютер в безопасном режиме с загрузкой сетевых драйверов.
Для тех, кто не в курсе, как запустить компьютер запустить компьютер в безопасном режиме с загрузкой сетевых драйверов, подскажу несколько вариантов:

Rootkit (руткит) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

В этот первый шаг, мы будем запускать проверку системы с помощью утилиты TDSSKiller Касперского, для удаления любых вредоносных программ, которые могут быть установлены на вашей системе.

Для выполнения шага 3 нам потребуется данная утилита. RKill это программа, которая пытаться завершить все вредоносные процессы, связанные с какой-либо инфекцией, так что мы сможем выполнять следующий шаг, не отвлекаясь на это вредоносное программное обеспечение.

Поскольку эта утилита только останавливает вредоносный процесс, а не удаляет файлы, после запуска RKill вы не должны перезагрузить ваш компьютер.

Malwarebytes Anti-Malware является мощным сканером, который удаляет все типы вредоносных программ с компьютера. Важно отметить, что программа Malwarebytes Anti-Malware работает параллельно с антивирусами, без каких либо конфликтов.

HitmanPro может найти и удалить вредоносные программы, рекламное ПО, боты и другие угрозы. Те, что даже самый лучший антивирус может пропустить и не заметить. HitmanPro предназначен для работы вместе с вашим антивирусом, брандмауэром и другими инструментами безопасности.

Когда процесс будет завершен, можно закрыть HitmanPro и продолжить с остальными инструкциями.

А чем вы пользуетесь для удаления вирусов с компьютеров, предлагаю делиться своими наработками в комментариях.

Делал надавно сайт своей подруге. Использовал CMS Joomla (ну нравится она мне), сайт получился неплохой, посещаемости, конечно, пока маловато, ну да ладно. Так вот, все шло отлично пока в один прекрасный момент мне не позвонили и не сказали, что сайт в смартфоне не открывается. Точнее открывается, но не то, что там должно быть, а всплывает окошко и просит принудительно обновить браузер. А так как браузер подруга недавно обновляла с официального сайта, то заподозрила она неладное.

Вирус в .htaccess - мобильный редирект

Посмотрел я файлы того сайта и в .htaccess обнаружил следующее (Это всего лишь небольшой отрывок из .htaccess, код стоял в самом начале файла):

RewriteEngine on RewriteCond % acs [NC,OR]RewriteCond % alav [NC,OR]RewriteCond % alca [NC,OR]RewriteCond % amoi [NC,OR]RewriteCond % audi [NC,OR]RewriteCond % aste [NC,OR]RewriteCond % avan [NC,OR]RewriteCond % benq [NC,OR]RewriteCond % bird [NC,OR]RewriteCond % blac [NC,OR]RewriteCond % blaz [NC,OR]RewriteCond % brew [NC,OR]RewriteCond % cell [NC,OR]RewriteCond % cldc [NC,OR]RewriteCond % cmd- [NC,OR]RewriteCond % eric [NC,OR]RewriteCond % hipt [NC,OR]RewriteCond % inno [NC,OR]RewriteCond % ipaq [NC,OR]RewriteCond % java [NC,OR]RewriteCond % jigs [NC,OR]RewriteCond % kddi [NC,OR]RewriteCond % keji [NC,OR]RewriteCond % leno [NC,OR]RewriteCond % lg-c [NC,OR]RewriteCond % lg-d [NC,OR]RewriteCond % lg-g [NC,OR]RewriteCond % lge- [NC,OR]RewriteCond % maui [NC,OR]RewriteCond % maxo [NC,OR]RewriteCond % midp [NC,OR]RewriteCond % mits [NC,OR]

Что делал этот вирус .htaccess? Он перенаправлял всех посетителей с мобильных телефонов на специальныю посадочную страницу, на которой пользователям предлагалось обновить браузер (это в моем случае, а вообще там может быть все, что угодно). Такой вирус не сразу заметишь, ведь не всегда вебмастер заходит на свой сайт со смартфонов, планшетов и т.д. А вот вашим пользователям такое, я думаю, вообще не понравится, и в следующий раз они могут вообще к вам не прийти.

Как найти и удалить вирус htaccess с сайта?

Удаление всего ненужного из .htaccess не помогло, даже если потом выставлять права 000. Хотя поначалу я думал, что это поможет, но через день-два вирус снова давал о себе знать.

Пришлось залезть в журнал логов. Там оказалось несколько сомнительных строк, например:

146.185.239.19 - - [30/Jun/2014:07:38:13 -0400] "POST /modules/mod_araticlhess/headers.php HTTP/1.1" 302 284 "-" "Python-urllib/2.7"

178.74.246.201 - - [30/Jun/2014:05:08:45 -0400] "POST /administrator/components/com_banners/web-infor.php HTTP/1.1" 200 18028 "http://********/administrator/components/com_banners/web-infor.php" "Mozilla/5.0 (Windows NT 6.1; Trident/4.0; en:16.0) Gecko/20100101 Firefox/16.0"

Все проделанное выше, конечно, помогло, но вирус был удален не полностью. Однако, на хостинге Webhost1 (пользуюь этим хостингом уже несколько лет, и только хорошие впечатления) есть так называемый "Сканнер на вирусы". Так вот при подозрении, что на вашем сайте появились вирусы, стоим им воспользоваться.

Для этого достаточно выбрать папку, которую надо просканировать и нажать на кнопку

Вот что он вам выдаст в ответ:

Или же создавались абсолютно сторонние файлы, с примерно следующим содержанием:

Я им не пользовался, но многие советуют. Вот что он умеет:

- Искать вирусы, вредоносные и хакерские скрипты на хостинге

- шеллы по сигнатурам и гибким паттернам, шеллы на основе несложной эвристики - все то, что обычные антивирусы и сканеры найти не могут

- искать редиректы в .htaccess на вредоносные сайты и многое другое.

Скорее всего он загружен либо через уязвимости в CMS или внедрен в какое-то расширение, которое было скачано с недобросовестного сайта. Кстати, я недавно писал статью Немного о безопасноcти Joomla, можете почитать.

Желаю Вам, чтобы Вы не сталкивались с такими проблемами, а если столкнетесь, то знаете, что надо делать. Надеюсь, статья была полезной))

Что такое вирус перенаправления из Browser?

Вирус перенаправления из Browser – это киберугроза, относящаяся к категории 'Захватчиков броузера'. Программы данной категории (поисковые системы, дезинформирующие надстройки броузера и расширения) могут скачаться в систему и установиться в любом из веб-броузеров без Вашего ведома, поскольку они чаще всего распространяются с помощью 'бандлинга'.

В большинстве случаев такая сомнительная техника распространения реализуется с привлечением даунлоад-менеджеров, PDF-генераторов, программ для работы с потоковым видео и подобного бесплатного ПО, которое на платной основе может быть оснащено 'дополнительными компонентами'. Имейте в виду, что от таких компонентов можно отказаться только в случае, если Вы уделяете достаточно внимания процессу инсталляции бесплатных программ, убирая флажки подтверждающие установку ненужных Вам компонентов.

Кроме того, после захвата системы вирус Browser redirect также может показывать надоедливую всплывающую рекламу во время Ваших Google-поисков. Вдобавок, он с легкостью способен отслеживать Ваши действия в броузере и собирать связанную с ними информацию, а именно: поисковые запросы, наиболее посещаемые веб-сайты, выгружаемую на посещаемых сайтах информацию, IP-адрес и геоположение Вашего компьютера. Подобная информация не считается личной, однако ее утечка может привести к различным неполадкам, таким как повышенное количество спама и подобным проблемам.

Если Вы считаете, что уже стали одним из пользователей ПК, в чей компьютер проник захватчик броузера, то знайте, что ЛЮБОЙ перенаправляющий броузер вирус можно удалить при помощи следующих Reimage Reimage Cleaner Intego программ.

Вирус перенаправления из Browser

Как Вирус перенаправления из Browser мог захватить мой компьютер?

Если веб-броузер перенаправляет Вас на малоизвестные веб-сайты, или при его использовании Вы наблюдаете разнообразную всплывающую рекламу, это означает, что захватчик броузера уже прячется в Вашей ПК-системе. Как мы уже упоминали, такие потенциально небезопасные, а иногда и опасные программы активно распространяются при помощи бандлинга.

К счастью, для защиты от захватчиков броузера Вам не нужно прекращать пользоваться бесплатными программами. Вам достаточно просто следовать таким простым советам:

• Выбирая бесплатную программу для установки на компьютер, всегда читайте, что сказано в 'Политике приватности' и 'Пользовательском лицензионном соглашении'. Если там присутствуют какие-либо упоминания об отслеживании Ваших действий в броузере, о рекламном контенте и подобных вещах, то Вам следует поискать другую бесплатную программу.
• Если документы программы выдержали Вашу проверку, то обязательно откажитесь от 'Быстрого', 'Основного' или 'Рекомендованного' варианта инсталляции. Вместо этого Вам нужно выбирать 'Пользовательский' или 'Индивидуальный' тип инсталляции.
• Выбрав нужный вариант инсталляции, постарайтесь быть как можно внимательнее к работе мастера установки и читайте, что сказано в каждом из диалоговых окон инсталляции. Если видите флажок позволяющий изменение домашней страницы или поисковика по умолчанию, то такой флажок нужно убрать. Конечно, Вам также необходимо отклонять предложения установить неизвестные Вам надстройки броузера, расширения и плагины.
• Установите заслуживающую уважения антишпионскую программу и регулярно обновляйте ее. Такие действия позволят Вам избежать проникновения более серьезных захватчиков броузера, способных надежно спрятаться в недрах бесплатного ПО.

Как удалить Вирус перенаправления из Browser?

Вы можете устранить повреждения вируса с помощью Reimage Reimage Cleaner Intego . SpyHunter 5 Combo Cleaner and Malwarebytes рекомендуются для обнаружения потенциально нежелательных программ и вирусов со всеми их файлами и записями реестра, связанными с ними.

Никакой владелец сайта не захочет, чтобы траффик с его сайта уходил через редирект к неизвестным сайтам - это неинтересно как клиентам, подрывает доверие покупателей и вызывает санкции поисковых систем и антивирусов.

В данной статье я рассмотрю основные варианты встраивания вирусных редиректов.

Внимание! Удаляя редирект, Вы удаляете лишь следстствие, для того, чтобы ситуация не повторилась, Вам стоит искать причину попадания вирусов на сайт!

Кроме этого, вредоносные редиректы плохо детектируются сканерами и антивирусами, что зачастую приходится искать вручную источник зла.

В первую очередь ищем вставки кода в файлы .htaccess, особенно в корне сайта

Все что связано с Rewrite стоит проверить, куда перенаправляет.

Ниже я приведу пару вредоносных вставок - которые создают дорвеи и тысячи страниц в поиске, так называемый японский спам (сео-спам, страницы с иероглифами - тут много названий):

Если увидите что-то подобное - смело можно удалять, если сомневаетесь, какие строки можно оставить, то возьмите стандартный файл вашей CMS - там не будет находиться вирус!

Обычно редиректы прописывают для запросов с мобильных и планшетов:

android|plucker|pocket|psp|symbian|treo|vodafone|wap и другие вариации мобильных заголовков

как и для переходов с поисковых систем:

Если этот пункт не помог, то стоит обратить внимание на код страницы - порой часто редирект добавляют через Javascript

Чтобы избавиться от вредоносного кода может понадобиться массовая замена всех .js файлов.

Обязательно проверяйте индексные файлы и папку шаблона - это излюбленные места хакеров для вирусов. Особенно тщательно пройдитесь по файлам index.php, footer.php, head.php, header.php - в последнее время популярно стало размещать сами вирусы не в них, а в виде ссылок. Поэтому внимательно проверяйте, какие файлы подгружаются посредством команд include и require.

Самые изощренные вставки делаются уже в подгружаемые модули, плагины и компоненты. Это могут быть как отдельно внедренные модули (особенно если была взломана админка), так и просто вставки зашифрованного кода в файлы известных и популярных расширений.

К примеру, в последнее время встречаю не один сайт на джумле ( в частности на Joomla 2.5), где по пути includes/inc.class.php находится сам вирус, а в файл application.php в этой же папке вставлена следующая строка

Обычно параллельно с этим libraries/joomla/appplication находится вирус редиректа с именем joomla-app.php

не подскажите что это за папка

вот полный путь до папки

в файле .htaccess

order deny,allow
deny from all

в файле .htaccess.backup

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond % !-f
RewriteCond % !-d
RewriteRule . /index.php [L]

order allow,deny
deny from all

в файле index.html

там пусто никаких записей нет

Подскажите пожалуйста если можно, что еще можно было бы поставить с связке с

All In One WP Security

какой нибудь сканер, если были изменения в файлах и автоматически сканировал сайт, буквально все что бы можно было бы обезопасить сайт?

Сделать такую связку чтобы они не конфликтовали между собой

Начала заниматься с вордпресс совсем недавно, и как этот движок самый распространенны й то ломают его часто, хотелось бы как сказать во все оружие встретить если что
Вроде бесплатных много есть плагинов, но не ставить же все подряд, чтобы конфликта не было
Если есть мысль было бы хорошо

Насчет крона это не про меня, не настолько понимаю

В любом случае спасибо что подсказали

Добрый день всем.
Пишу из за того что не знаю что уже делать. у меня на сайтах укакой то вирус который делает редирект с них. только в том случае если человек перрвый раз переходит из поисковиков путем нажатия на ссылку ведущую на мой сайт.

- Дело в том что эта "зараза" распростроняетс я и на поддомене.
Мы уже все снесли, все конструкторы и установили сайты заново, чистые аккуратно и без вируса, становится понятно что дело не в сайтах, не в их коде, Свои пк Ноутбук проверены разными антивирусами, но все ровно идет редирект, мы выходили специально даже от друзей, где они вообще ни имею отношения к нашим сайтам, но и там все происходит как на ролике выше. остается только один голый домен. помогите пожалуйста решить эту проблему, у меня весь трафик уходит налево, да ладно если бы просто уходил, так он ведет на проверенны лохотрон, люди страдают.

и так на всех моих сайтах и их поддоменах.
Я точно знаю что дело не в сайтах и не моих ПК.
Дело в самих доменах. Помогите прошу люди решить эту задачу.