Вирус постоянно генерит htaccess

[Nash]

Добрый день! словил на одном из сайтов на ocstore 2.3 такую вирусню:

- затирается главный файл .htaccess и в код главной страницы index.php в начало добавляется вредоносный код;
- при попытке изменения .htaccess или index.php, они буквально через секунду снова перезатирались;
- во ВСЕХ директориях сайта, который был основным зараженным, создались файлы .htaccess, запрещающие вам доступ чезер браузер к директориям;
- создаются файлы в директориях сайта с вредоносным кодом и рандомным названием;
- иногда встраивается вредоносный код в файлы;

 

в логах обнаружил вот такое: 

Apr 16 04:22:07 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:07 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 301 278 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

Apr 16 04:22:08 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:07 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 404 65657 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

Apr 16 04:22:09 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:09 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 301 278 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

Apr 16 04:22:09 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:09 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 404 65657 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

Apr 16 04:22:10 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:10 +0300] "GET /index.php?route=product/product&product_id=30'%20AND%20GTID_SUBSET(CONCAT(0x7176766b71,(SELECT%20IFNULL(CAST(COUNT(*)%20AS%20NCHAR),0x20)%20FROM%20INFORMATION_SCHEMA.USER_PRIVILEGES),0x7171716b71),4706)--%20EHZS HTTP/1.0" 301 444 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

Apr 16 04:22:11 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:11 +0300] "GET /index.php?route=product/product&product_id=30'%20AND%20GTID_SUBSET(CONCAT(0x7176766b71,(SELECT%20IFNULL(CAST(COUNT(*)%20AS%20NCHAR),0x20)%20FROM%20INFORMATION_SCHEMA.USER_PRIVILEGES),0x7171716b71),4706)--%20EHZS HTTP/1.0" 200 1176 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

и тд...

 

подскажите, пожалуйста, как защититься от такой дичи?

[halfhope]

Здравствуйте! У меня есть готовая услуга, но не знаю когда буду свободен.

 

 

Так же есть статья, если хотите опробовать сами.