Как проверить htaccess на вирусы

чт, 11/21/2019 - 12:00

Я администрирую сайты с 2012 года. Специализируюсь на безопасности: удаляю вредоносные скрипты, устраняю уязвимости. Лечил как небольшие блоги, так и крупные интернет-магазины. Сегодня поделюсь инструментами, с помощью которых проверяю сайт на вирусы и удаляю их.

Эта статья не для новичков: понадобится знание основ HTML, PHP и JS, а также умение работать в консоли.

Что такое вирусы и как они попадают на сайт

Вирус — это вредоносный код. Он меняет внешний вид сайта, размещает рекламу, отправляет посетителей на другой сайт, даёт мошенникам доступ к сайту, использует ресурсы хостинга для майнинга или других вычислений.

На сайте вирус, если:

1. На страницах появился контент, который владелец не добавлял.
2. Сайт стал работать медленнее.
3. При переходе на него пользователи видят другой ресурс.
4. Упала посещаемость из поиска.
5. На хостинге появились новые папки.

Вирусы попадают на сайт через уязвимый код или расширения, вследствие неправильных настроек хостинга, атаки с подбором пароля, заражения хостинга или компьютера.

Когда на сайт попадают вирусы, репутация владельца, трафик из поиска и доходы с сайта оказываются под угрозой. Чтобы вылечить сайт от вируса, сначала надо убедиться в заражении, а потом найти и удалить вредоносный код. После этого — защитить проект от будущих атак. Ниже расскажу о каждом этапе.

Убедиться в заражении

Если есть подозрение на вирус, но уверенности нет, надо убедиться в заражении. Для этого я проверяю сайт через онлайн-сканеры, а также в нескольких браузерах и поисковиках.

Онлайн-сканеры помогают быстро найти вредоносный код, но я никогда не полагаюсь только на них: не все вирусы можно найти автоматически. Вот несколько сервисов:

Один из признаков заражения — редирект. Это когда при переходе на ваш сайт пользователи видят другой ресурс. Заражённый сайт с компьютера может открываться нормально, а с телефона посетителей будет перекидывать на фишинговую страницу или страницу с мобильными подписками. Или наоборот.

Поэтому нужно проверять поведение сайта в разных браузерах, операционных системах и мобильных устройствах.

Поисковые системы автоматически проверяют сайты на вирусы. Заражённые ресурсы они помечают серым цветом и подписью с предупреждением.

Чтобы проверить свой сайт, введите адрес в поисковую строку Яндекса или Google. Если увидите предупреждение, значит, сайт заражён. Посмотрите вердикты и цепочки возможных заражений.

Способ не универсальный! Поисковые системы находят вредоносный код не сразу. Кроме того, вирус можно научить проверять источник запроса и прятаться от поисковиков. Если такой вирус увидит запрос из поисковой системы, скрипты не отработают — поисковая система не увидит подвоха.

Еще один вид вируса — дорвеи. Они встраивают на сайт свой контент.

Найти и удалить зловредов

Когда в заражении нет сомнений, вредоносный код надо найти и удалить. Основная проблема — найти. Я просматриваю файлы сайта вручную, а также использую консоль.

Вредоносные скрипты часто добавляют в исходный код сайта (в браузере нажите Сtrl+U). Проверьте его на наличие посторонних JS-скриптов, iframe-вставок и спам-ссылок. Если найдёте — удалите.

Проверьте все JS-скрипты, которые подключаются во время загрузки страницы, нет ли в них посторонних вставок. Обычно их прописывают в начале и в конце JS-скрипта.

Все посторонние вставки удалите.

Действительно, не всегда вредоносный скрипт — это отдельно подключенный файл, часто модифицируют один из существующих файлов. Если код обфусцирован, понять его не удастся. В таком случае стоит выяснить, в каком файле он находится.

Если это часть CMS, то надо проверить оригинальное содержимое такого файла, выгрузив архив с CMS такой же версии и сравнив содержимое этого файла.

Если файл самописный, т. е. не относится к компоненту CMS, то лучше обратиться к разработчику. Скорее всего он знает, что писал он, а что мог добавить зловред. В таком случае оригинальное содержимое можно заменить из бекапа.

Ростислав Воробьёв, сотрудник техподдержки ISPsystem

Если известно, когда взломали сайт, то вредоносный код можно найти по всем файлам, что были изменены с тех пор.

Например, взлом произошел несколько дней назад, тогда для вывода всех PHP-скриптов, которые были изменены за последние 7 дней, нужно использовать команду: find . –name '*.ph*' –mtime -7

После выполнения команды нужно проанализировать найденные PHP-скрипты на возможные вредоносные вставки.

Это действительно помогает уменьшить список подозреваемых PHP-файлов, которые могут содержать зловредов. Однако не всегда зловреды в PHP-файлах. Немного модифицировав .htaccess файл, можно создать файл с разрешением .jpg, в нём разместить PHP-код и веб-сервер будет исполнять его как обычный PHP, но с виду это будет картинка — пример реализации.

Ростислав Воробьёв

Директории upload/backup/log/image/tmp потенциально опасны, так как обычно они открыты на запись. В большинстве случаев именно в них заливают shell-скрипты, через которые потом заражают файлы сайта и базу данных. Такие директории нужно проверять на возможные вредоносные PHP-скрипты.

Например, каталог upload можно проверить командой: find /upload/ -type f -name '*.ph*'

Она покажет все PHP-файлы в каталоге upload.

После анализа заражённые файлы можно удалить вручную или командой: find /upload/ -name '*.php*' -exec rm '<>' \;

Откройте каталог сайта. Найдите файлы и папки с нестандартными именами и подозрительным содержимым, удалите их.

Ростислав Воробьёв

Все папки на хостинге нужно проверить на множественные php и html файлы в одной директории, сделать это можно командой:

find ./ -mindepth 2 -type f -name '*.php' | cut -d/ -f2 | sort | uniq -c | sort –nr

После выполнения команды на экране отобразится список каталогов и количество PHP-файлов в каждом из них. Если в каком-то каталоге будет подозрительно много файлов, проверьте их.

Быстро проверить сайт на вирусные скрипты можно командой:

find ./ -type f -name "*.php" -exec grep -i -H "wso shell\|Backdoor\|Shell\|base64_decode\|str_rot13\|gzuncompress\|gzinflate\|strrev\|killall\|navigator.userAgent.match\|mysql_safe\|UdpFlood\|40,101,115,110,98,114,105,110\|msg=@gzinflate\|sql2_safe\|NlOThmMjgyODM0NjkyODdiYT\|6POkiojiO7iY3ns1rn8\|var vst = String.fromCharCode\|c999sh\|request12.php\|auth_pass\|shell_exec\|FilesMan\|passthru\|system\|passwd\|mkdir\|chmod\|mkdir\|md5=\|e2aa4e\|file_get_contents\|eval\|stripslashes\|fsockopen\|pfsockopen\|base64_files" <> \;

Либо можно использовать grep без find.

grep -R -i -H -E "wso shell|Backdoor|Shell|base64_decode|str_rot13|gzuncompress|gzinflate|strrev|killall|navigator.userAgent.match|mysql_safe|UdpFlood|40,101,115,110,98,114,105,110|msg=@gzinflate|sql2_safe|NlOThmMjgyODM0NjkyODdiYT|6POkiojiO7iY3ns1rn8|var vst = String.fromCharCode|c999sh|request12.php|auth_pass|shell_exec|FilesMan|passthru|system|passwd|mkdir|chmod|md5=|e2aa4e|file_get_contents|eval|stripslashes|fsockopen|pfsockopen|base64_files" ./

Эти команды выполнят поиск вредоносного кода в файлах текущего каталога. Они ищут файлы рекурсивно, от того каталога, в котором запущены.

Совпадений будет много, большинство найденных файлов не будут зловредами, так как модули CMS тоже используют эти функции.

В любом случае, проанализируйте найденные PHP-скрипты на возможные вредоносные вставки. Перед удалением файла обязательно посмотрите его содержимое.

Часто во время взлома и заражения сайта вредоносный код добавляют в базу данных. Для быстрой проверки базы данных на вирусы нужно зайти в phpmyadmin и через поиск ввести по очереди запросы

Никакой владелец сайта не захочет, чтобы траффик с его сайта уходил через редирект к неизвестным сайтам - это неинтересно как клиентам, подрывает доверие покупателей и вызывает санкции поисковых систем и антивирусов.

В данной статье я рассмотрю основные варианты встраивания вирусных редиректов.

Внимание! Удаляя редирект, Вы удаляете лишь следстствие, для того, чтобы ситуация не повторилась, Вам стоит искать причину попадания вирусов на сайт!

Кроме этого, вредоносные редиректы плохо детектируются сканерами и антивирусами, что зачастую приходится искать вручную источник зла.

В первую очередь ищем вставки кода в файлы .htaccess, особенно в корне сайта

Все что связано с Rewrite стоит проверить, куда перенаправляет.

Ниже я приведу пару вредоносных вставок - которые создают дорвеи и тысячи страниц в поиске, так называемый японский спам (сео-спам, страницы с иероглифами - тут много названий):

Если увидите что-то подобное - смело можно удалять, если сомневаетесь, какие строки можно оставить, то возьмите стандартный файл вашей CMS - там не будет находиться вирус!

Обычно редиректы прописывают для запросов с мобильных и планшетов:

android|plucker|pocket|psp|symbian|treo|vodafone|wap и другие вариации мобильных заголовков

как и для переходов с поисковых систем:

Если этот пункт не помог, то стоит обратить внимание на код страницы - порой часто редирект добавляют через Javascript

Чтобы избавиться от вредоносного кода может понадобиться массовая замена всех .js файлов.

Обязательно проверяйте индексные файлы и папку шаблона - это излюбленные места хакеров для вирусов. Особенно тщательно пройдитесь по файлам index.php, footer.php, head.php, header.php - в последнее время популярно стало размещать сами вирусы не в них, а в виде ссылок. Поэтому внимательно проверяйте, какие файлы подгружаются посредством команд include и require.

Самые изощренные вставки делаются уже в подгружаемые модули, плагины и компоненты. Это могут быть как отдельно внедренные модули (особенно если была взломана админка), так и просто вставки зашифрованного кода в файлы известных и популярных расширений.

К примеру, в последнее время встречаю не один сайт на джумле ( в частности на Joomla 2.5), где по пути includes/inc.class.php находится сам вирус, а в файл application.php в этой же папке вставлена следующая строка

Обычно параллельно с этим libraries/joomla/appplication находится вирус редиректа с именем joomla-app.php

не подскажите что это за папка

вот полный путь до папки

в файле .htaccess

order deny,allow
deny from all

в файле .htaccess.backup

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond % !-f
RewriteCond % !-d
RewriteRule . /index.php [L]

order allow,deny
deny from all

в файле index.html

там пусто никаких записей нет

Подскажите пожалуйста если можно, что еще можно было бы поставить с связке с

All In One WP Security

какой нибудь сканер, если были изменения в файлах и автоматически сканировал сайт, буквально все что бы можно было бы обезопасить сайт?

Сделать такую связку чтобы они не конфликтовали между собой

Начала заниматься с вордпресс совсем недавно, и как этот движок самый распространенны й то ломают его часто, хотелось бы как сказать во все оружие встретить если что
Вроде бесплатных много есть плагинов, но не ставить же все подряд, чтобы конфликта не было
Если есть мысль было бы хорошо

Насчет крона это не про меня, не настолько понимаю

В любом случае спасибо что подсказали

Добрый день всем.
Пишу из за того что не знаю что уже делать. у меня на сайтах укакой то вирус который делает редирект с них. только в том случае если человек перрвый раз переходит из поисковиков путем нажатия на ссылку ведущую на мой сайт.

- Дело в том что эта "зараза" распростроняетс я и на поддомене.
Мы уже все снесли, все конструкторы и установили сайты заново, чистые аккуратно и без вируса, становится понятно что дело не в сайтах, не в их коде, Свои пк Ноутбук проверены разными антивирусами, но все ровно идет редирект, мы выходили специально даже от друзей, где они вообще ни имею отношения к нашим сайтам, но и там все происходит как на ролике выше. остается только один голый домен. помогите пожалуйста решить эту проблему, у меня весь трафик уходит налево, да ладно если бы просто уходил, так он ведет на проверенны лохотрон, люди страдают.

и так на всех моих сайтах и их поддоменах.
Я точно знаю что дело не в сайтах и не моих ПК.
Дело в самих доменах. Помогите прошу люди решить эту задачу.

Делал надавно сайт своей подруге. Использовал CMS Joomla (ну нравится она мне), сайт получился неплохой, посещаемости, конечно, пока маловато, ну да ладно. Так вот, все шло отлично пока в один прекрасный момент мне не позвонили и не сказали, что сайт в смартфоне не открывается. Точнее открывается, но не то, что там должно быть, а всплывает окошко и просит принудительно обновить браузер. А так как браузер подруга недавно обновляла с официального сайта, то заподозрила она неладное.

Вирус в .htaccess - мобильный редирект

Посмотрел я файлы того сайта и в .htaccess обнаружил следующее (Это всего лишь небольшой отрывок из .htaccess, код стоял в самом начале файла):

RewriteEngine on RewriteCond % acs [NC,OR]RewriteCond % alav [NC,OR]RewriteCond % alca [NC,OR]RewriteCond % amoi [NC,OR]RewriteCond % audi [NC,OR]RewriteCond % aste [NC,OR]RewriteCond % avan [NC,OR]RewriteCond % benq [NC,OR]RewriteCond % bird [NC,OR]RewriteCond % blac [NC,OR]RewriteCond % blaz [NC,OR]RewriteCond % brew [NC,OR]RewriteCond % cell [NC,OR]RewriteCond % cldc [NC,OR]RewriteCond % cmd- [NC,OR]RewriteCond % eric [NC,OR]RewriteCond % hipt [NC,OR]RewriteCond % inno [NC,OR]RewriteCond % ipaq [NC,OR]RewriteCond % java [NC,OR]RewriteCond % jigs [NC,OR]RewriteCond % kddi [NC,OR]RewriteCond % keji [NC,OR]RewriteCond % leno [NC,OR]RewriteCond % lg-c [NC,OR]RewriteCond % lg-d [NC,OR]RewriteCond % lg-g [NC,OR]RewriteCond % lge- [NC,OR]RewriteCond % maui [NC,OR]RewriteCond % maxo [NC,OR]RewriteCond % midp [NC,OR]RewriteCond % mits [NC,OR]

Что делал этот вирус .htaccess? Он перенаправлял всех посетителей с мобильных телефонов на специальныю посадочную страницу, на которой пользователям предлагалось обновить браузер (это в моем случае, а вообще там может быть все, что угодно). Такой вирус не сразу заметишь, ведь не всегда вебмастер заходит на свой сайт со смартфонов, планшетов и т.д. А вот вашим пользователям такое, я думаю, вообще не понравится, и в следующий раз они могут вообще к вам не прийти.

Как найти и удалить вирус htaccess с сайта?

Удаление всего ненужного из .htaccess не помогло, даже если потом выставлять права 000. Хотя поначалу я думал, что это поможет, но через день-два вирус снова давал о себе знать.

Пришлось залезть в журнал логов. Там оказалось несколько сомнительных строк, например:

146.185.239.19 - - [30/Jun/2014:07:38:13 -0400] "POST /modules/mod_araticlhess/headers.php HTTP/1.1" 302 284 "-" "Python-urllib/2.7"

178.74.246.201 - - [30/Jun/2014:05:08:45 -0400] "POST /administrator/components/com_banners/web-infor.php HTTP/1.1" 200 18028 "http://********/administrator/components/com_banners/web-infor.php" "Mozilla/5.0 (Windows NT 6.1; Trident/4.0; en:16.0) Gecko/20100101 Firefox/16.0"

Все проделанное выше, конечно, помогло, но вирус был удален не полностью. Однако, на хостинге Webhost1 (пользуюь этим хостингом уже несколько лет, и только хорошие впечатления) есть так называемый "Сканнер на вирусы". Так вот при подозрении, что на вашем сайте появились вирусы, стоим им воспользоваться.

Для этого достаточно выбрать папку, которую надо просканировать и нажать на кнопку

Вот что он вам выдаст в ответ:

Или же создавались абсолютно сторонние файлы, с примерно следующим содержанием:

Я им не пользовался, но многие советуют. Вот что он умеет:

- Искать вирусы, вредоносные и хакерские скрипты на хостинге

- шеллы по сигнатурам и гибким паттернам, шеллы на основе несложной эвристики - все то, что обычные антивирусы и сканеры найти не могут

- искать редиректы в .htaccess на вредоносные сайты и многое другое.

Скорее всего он загружен либо через уязвимости в CMS или внедрен в какое-то расширение, которое было скачано с недобросовестного сайта. Кстати, я недавно писал статью Немного о безопасноcти Joomla, можете почитать.

Желаю Вам, чтобы Вы не сталкивались с такими проблемами, а если столкнетесь, то знаете, что надо делать. Надеюсь, статья была полезной))

Про жизнь, путешествия, вкусную еду, технологии, веб-разработку и Drupal

Природа площадок сразу же намекнула на то, что виной всему происходящему — некий вирус (а не Яндекс).

Поскольку симптомы в данном случае были похожие, то первым делом я пошёл проверять .htaccess и увидел там примерно следующее:

Соответственно, если столкнетесь с подобным, то смотрите дату/время последнего изменения .htaccess (ни в коем случае сразу же не бросайтесь его очищать и пересохранять), затем просите у хостера (если сайт на shared-хостинге) FTP-логи за период вокруг момента заражения. По логам выясняйте, что ещё делал тот же злобный IP-адрес, с которого поправили .htaccess .

1. Искать PHP-shell по всей структуре сайта. Если shell был внедрён, то смена FTP-пароля — не поможет (добавлять вредные правила в .htaccess вам и дальше продолжат через shell).
2. Обновлять CMS и прочий софт.

Профилактика: ещё раз повторим общеизвестные правила защиты от вирусов и троянов

Самые популярные причины попадания вируса на сайт:

1. Не использовать простые пароли, которые треснут как орешек за пару часов ненавязчивого перебора.
2. Не держать в открытом не зашифрованном виде пароли локально, иметь и обновлять антивирус.
3. Обновлять CMS и фреймворки, на которых построен сайт, до актуальных версий.
4. Всегда иметь работоспособный бэкап. Для этого, обычно, достаточно иметь резервную копию месячной, недельной и суточной давности, проводя раз в квартал её тестовое разворачивание.

А ещё такой вирус не страшен сайтам, работающим целиком на nginx без Apache 🙂

Кроме осады .htaccess этот вирус и его родственники умеют прописываться во всех поголовно php-файлах.

Чтобы запутать неопытного веб-мастера код вируса упаковывается примерно таким образом:

На выходе при исполнении файла (и декодировании всей этой беды) получаем всё те же редиректы, только средствами PHP, а не веб-сервера.

find ./ -type f -exec sed -i 's/eval(base64_decode(\"DQplcn[^;]*;//g' <> \;

Если имеется SSH доступ к серверу, то запустить всё это можно прямо там (иначе — надо будет скачать все файлы к себе, полечить локально, залить обратно).

[…] тут, кстати, Алексей Костин написал отличную статью по борьбе с вирусами в .htaccess Леш, я честно твою статью через поиск нашла и она — […]

Andr435
Дек 23, 2012 @ 20:55:37

Павел
Янв 05, 2013 @ 01:03:01

Irshat
Янв 13, 2013 @ 12:59:23

Большое спасибо. Вычистил все php одной командой find от eval(base64_decode все свои сайты на одном хостинге

alex
Июл 09, 2013 @ 11:07:15

Подтверждаю, сайты на Majordomo заразились этой гадостью, смена ftp паролей, учетных данных, e-mail, чистка левого кода, заливка из бэкапа оригинальных файлов, настройка прав доступа — все в пустую, сайты вновь редиректят мобильный траффик на различные sms и сайты с вирусами. Сайтов более 50 различных тематик, разных клиентов, на одной системе управления с аналогичными настройками, та часть, которая расположена у Majordomo — стабильно страдает этой фигней. Majordomo — небезопасный хостинг!

kostin
Июн 04, 2014 @ 10:21:31

> на одной системе управления с аналогичными настройками
Так может дырка в ней, а не в хостинге?

Dima_Bedny
Июн 04, 2014 @ 10:17:26

Приветствую Как конкретно чистил файл .htaccess? Обьясните пожалуйста!

kostin
Июн 04, 2014 @ 10:19:47

Как конкретно чистить — зависит от конкретного файла. Откройте его в текстовом редакторе и ищите там, для начала, глазками редиректы на посторонние домены.

Dima_Bedny
Июн 04, 2014 @ 10:43:27

файл .htaccess! Просто в редакторе удалить строки или как?

kostin
Июн 04, 2014 @ 10:45:10

У вас в файле .htaccess могут быть несколько иные инъекции, чем описаны в статьи. Но в любой инъекции будут редиректы на внешний рекламно-вирусный сайт. Ищите, удаляйте, сохраняйте. Если инъекции снова появятся, значит где-то у вас сиди шелл, через который их присаживают.

Dima_Bedny
Июн 04, 2014 @ 10:50:00

kostin
Июн 04, 2014 @ 10:53:36

Dima_Bedny
Июн 04, 2014 @ 10:59:06

Осталось только:
RewriteEngine on

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond % !-f
RewriteCond % !-d
RewriteRule . /index.php [L]

kostin
Июн 04, 2014 @ 11:08:51

Коли у вас Вордпресс, то скачайте уже себе дистрибутив акутальной версии, достаньте оттуда .htaccess и замените ваш на дефолтный. А также обновите сам Вордпресс. 95% что где-то у вас сиди шелл, который всё равно потом .htaccess перезапишет, если вы шелл не прибьёте. Помочь вам в охоте на шелл может модуль Anti-Malware by ELI (Get Off Malicious Scripts), только не мучайте меня вопросами по использованию модуля. И сделайте бэкап.

Dima_Bedny
Июн 04, 2014 @ 11:11:35

Спасибо огромное все теперь ясно.

Vladimir
Авг 23, 2014 @ 17:45:02

Добрый день!
До недавнего времени был на моем сайте редирект с мобильных устройств, теперь ещё и с обычных. Никак не могу найти — где вирус засел.

text/x-generic .htaccess
ASCII English text

#php_value display_errors Off

##
# @package Joomla
# @copyright Copyright (C) 2005 — 2013 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##

##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: ‘Options +FollowSymLinks’ may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url’s. If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
#Options +FollowSymLinks

## Mod_rewrite in use.

## Begin — Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond % base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a tag in URL.
RewriteCond % (|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond % GLOBALS(=|\[|\%[0-9A-Z]<0,2>) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond % _REQUEST(=|\[|\%[0-9A-Z]<0,2>)
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End — Rewrite rules to block out some common exploits.

## Begin — Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End — Custom redirects

##
# Uncomment following line if your webserver’s URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

## Begin — Joomla! core SEF Section.
#
RewriteRule .* — [E=HTTP_AUTHORIZATION:%]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond % !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond % /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn’t directly match a physical file
RewriteCond % !-f
# and the requested path and file doesn’t directly match a physical folder
RewriteCond % !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End — Joomla! core SEF Section.

Подскажите пожалуйста — здесь не спрятан ли вирус?

Заранее огромное спасибо!

Константин
Мар 26, 2015 @ 18:51:39

Благодарочка!
Правлю я .htaccess, а он мне назад его откатывает))))
Спасибо за подсказку!

Виктор
Янв 04, 2017 @ 14:50:54

kostin
Янв 26, 2017 @ 14:26:54

Если происходит редирект, то это не обязательно означает, что он прописан именно в .htaccess (вирус может вшить редиректы и, например, в php-файлы ядра, модулей, темы). Ищите везде. Для Вордпресса вам в поисках поможет плагин — gotmls

Сергей
Июл 25, 2017 @ 11:04:47

Добрый день Kostin! Подскажите, пожалуйста, существует ли плагин для MODx, аналогичный Anti-Malware by ELI для Вордпресс?

Александр Коховец
Апр 20, 2018 @ 16:24:20

Здравствуйте поможете с лечением за денежку? у меня друпал, емайл qwerdie@mail.ri

Сергей
Июл 25, 2017 @ 11:03:49

Добрый день Kostin! Подскажите, пожалуйста, существует ли плагин для MODx, аналогичный Anti-Malware by ELI для Вордпресс?

Charlestyday
Мар 16, 2019 @ 21:49:44

hOur company offers weight loss products. Look at our health contributing portal in case you want to look better. Our company offers supreme quality health and related products. Take a look at our health contributing website in case you want to look better. Our company offers a wide variety of non prescription products. Take a look at our health site in case you want to to feel healthier with a help of generic supplements. Our company provides a wide variety of non prescription products. Take a look at our health portal in case you want to to feel healthier with a help of generic supplements. Our company provides herbal weight loss products. Look at our health contributing site in case you want to feel better. Our site offers a wide variety of non prescription drugs. Look at our health portal in case you want to to feel healthier with a help generic supplements.
Our company offers safe healthcare products. Visit our health contributing website in case you want to improve your health. Our company provides generic supplements. Visit our health contributing website in case you want to feel better. Our company provides a wide variety of non prescription drugs. Visit our health website in case you want to to feel healthier with a help of general health products. Our company offers safe health and related products. Look at our health contributing website in case you want to strengthen your health. Our company offers a wide variety of general health products. Take a look at our health contributing website in case you want to feel better.

Это действительно полезный
совет, особенно для тех, кто новичок в этом вопросе 😉

Большое спасибо за ваши удивительные статьи…

Я действительно наслаждаюсь чтением!

Вы, оказывается, превосходный писатель:
) Я уверен, что сохраню ваш веб блог в избранном, и в ближайшем будущем сюда вернусь!
Продолжайте свою высококачественную работу.
Приятного вечера:)

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

• Drupal (6)
• Веб-разработка (9)
• Железо (1)
• ЗОЖ (1)
• Маркетинг (4)
• На злобу дня (8)
• Обзоры (1)
• Полезняшки (1)
• Политика (1)
• Приготовление пищи (2)
• Путешествия (16)
• Разное (8)
• Софт (1)
• Спорт (2)