Перейти к содержанию
22.03.2024 ×
  • RU
    • Язык

Вирус постоянно генерит htaccess


Рекомендуемые сообщения

Добрый день! словил на одном из сайтов на ocstore 2.3 такую вирусню:

- затирается главный файл .htaccess и в код главной страницы index.php в начало добавляется вредоносный код;
- при попытке изменения .htaccess или index.php, они буквально через секунду снова перезатирались;
- во ВСЕХ директориях сайта, который был основным зараженным, создались файлы .htaccess, запрещающие вам доступ чезер браузер к директориям;
- создаются файлы в директориях сайта с вредоносным кодом и рандомным названием;
- иногда встраивается вредоносный код в файлы;

 

в логах обнаружил вот такое: 

Apr 16 04:22:07 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:07 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 301 278 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

Apr 16 04:22:08 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:07 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 404 65657 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

Apr 16 04:22:09 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:09 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 301 278 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

Apr 16 04:22:09 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:09 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 404 65657 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

Apr 16 04:22:10 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:10 +0300] "GET /index.php?route=product/product&product_id=30'%20AND%20GTID_SUBSET(CONCAT(0x7176766b71,(SELECT%20IFNULL(CAST(COUNT(*)%20AS%20NCHAR),0x20)%20FROM%20INFORMATION_SCHEMA.USER_PRIVILEGES),0x7171716b71),4706)--%20EHZS HTTP/1.0" 301 444 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

Apr 16 04:22:11 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:11 +0300] "GET /index.php?route=product/product&product_id=30'%20AND%20GTID_SUBSET(CONCAT(0x7176766b71,(SELECT%20IFNULL(CAST(COUNT(*)%20AS%20NCHAR),0x20)%20FROM%20INFORMATION_SCHEMA.USER_PRIVILEGES),0x7171716b71),4706)--%20EHZS HTTP/1.0" 200 1176 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3"

и тд...

 

подскажите, пожалуйста, как защититься от такой дичи?

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте! У меня есть готовая услуга, но не знаю когда буду свободен.

 

 

Так же есть статья, если хотите опробовать сами.

Телеграмм - halfhope. 

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...