About php radio php index php content php lock360 php
Перед восстановлением сайта из архива в первую очередь скачайте архив по ссылке, предоставленной сотрудником поддержки или воспользуйтесь инструкцией для создания архива текущих файлов сайта.
Для скачивания архива рекомендуем использовать ftp доступ:
https://support.rusonyx.ru/index.php?/Knowledgebase/Article/View/607/0/kk-poluchit-ssh-i-ftp-dostup
Если на сервере достаточно свободного места, Вы можете переместить текущие файлы сайта и дамп бд в отдельный каталог, создав его через менеджер файлов панели Plesk.
После этого Вам необходимо распаковать архив на своем компьютере и проверить его на наличие вредоносного кода.
Наиболее частые способы внедрения вредоносного кода:
— заменяют index.php в корне сайта,
— удаляют файл /bitrix/.settings.php,
— внедрение вредоносного кода в файл bitrix/js/main/core/core.js вида «s=document.createElement(script)»
— вредоносный скрипт также может создавать лишние файлы под видом нужных для работы сайта, например,/bitrix/components/bitrix/main.file.input/main.php или /bitrix/components/bitrix/main.file.input/set_list.php
— создают скрипты Агенты с вредоносным кодом, создаются подобные агенты:
— $fName = str_replace(‘/modules/main/classes/mysql’, », dirname(__FILE__)).’/admin/composite_seminarians.php’; $files = scandir(dirname($fName)); file_put_contents($fName, ‘ ?> ‘); touch($fName, filemtime(dirname($fName).’/’.$files[2]));
— создают файл /bitrix/tools/putin_***lo.php с кодом для удаленного доступа
— удаляют данные из таблиц базы данных b_iblock, b_iblock_element, b_iblock_element_property
— по директориям сайта могут быть раскиданы файлы .htaccess, блокирующие доступ к разделам (404 или 403 при обращении к страницам сайта):
Для предотвращения заражения дальше, стоит выполнить следующие действия.
— Перевести работу сайта на актуальную версию php (если это еще не сделано)
— Обновить Битрикс до актуальной версии (Не всегда это помогает)
— Если на сайте есть модуль «Проактивная защита» /bitrix/admin/security_panel.php — выполнить настройки по рекомендациям модуля
— Проверить сайт инструментом Битрикс «Сканер безопасности» /bitrix/admin/security_scanner.php
— Закрыть доступ к файлам на уровне сервера, временно (например в .htaccess)
— /bitrix/tools/upload.php
— /bitrix/tools/mail_entry.php
— /bitrix/modules/main/include/virtual_file_system.php
— /bitrix/components/bitrix/sender.mail.editor/ajax.php
— /bitrix/tools/vote/uf.php
— /bitrix/tools/html_editor_action.php
— /bitrix/admin/site_checker.php
Пример как можно ограничить доступы к файлам сайта:
Добавляем в файле правило. Если файла нет — создаем.
Добавляем в файле правило. Если файла нет — создаем.
Добавляем в файле правило. Если файла нет — создаем.
Добавляем в файле правило. Если файла нет — создаем.
В старых версиях битрикс уязвимым местом оказался модуль vote , это модуль опросник. Для того что бы обезопасить себя, в файле:
/var/www/vhosts/domain.tld/httpdocs/bitrix/tools/vote/uf.php над вызовом модуля вписываем:
if ($_SERVER[‘REQUEST_METHOD’] === ‘POST’)
header(«Status: 404 Not Found»);
Тоже самое и в файле /var/www/vhosts/domain.tld/httpdocs/bitrix/tools/html_editor_action.php
На сервере может присутствовать вредоносный процесс, запущенный через уязвимости сайта, который автоматически может пересоздавать вредоносные скрипты. Для его поиска подключитесь к серверу по ssh и выполните следующее:
ps auxf | grep domain.tld
В выводе Вы можете увидеть вредоносный процесс вида:
admin_f+ 16699 0.0 0.6 323116 10368 ? S Mar02 2:18 /opt/plesk/php/5.6/bin/php /var/www/vhosts/domain.tld/httpdocs/lock666.php
“Убиваем” его с помощью команды:
kill -9 16699
где 16699 — id процесса, который можно увидеть из предыдущей команды.
После проверки и очистки файлов, их необходимо запаковать обратно в архив .zip и загрузить в корневую директорию сайта, предварительно очистив каталог от существующих файлов. После очистки корневой директории сайта убедитесь, что в ней не создаются новые файлы.
Forbidden не заходит в админку WordPress [Вирус]
Если вы оказались на этой странице, то скорее всего не можете зайти в админ панель своего сайта на WordPress. Недавно я и сам столкнулся с такой проблемой.
При входе в админ панель, видел сообщение:
Forbidden
You don’t have permission to access /wp-login.php on this server.
Поняв что есть проблема, подумал бывает и пошел искать решение в поисковых системах, вижу что ошибка довольно частая и есть решение. Приведу ниже текст, который как правило помогает выйти из ситуации быстро…
Меняем файл .htaccess
Что делать если не пускает в админку и появляется ошибка 403? Необходимо, добавить немного кода. Добавить его нужно в файл .htaccess, лежащий в главной директории вашего сайта. Вы должны зайти в основную папку на хостинге. Это может быть папка под названием public_html, www, HTDOCS или совпадать с доменом сайта. В ней и будет расположен файл .htaccess.
Сделать это можно через админ панель вашего хостинг провайдера или через FTP проводник. Данный файл служит для дополнительной конфигурации веб-сервера. Теперь сам код который нужно добавить в самый конец .htaccess:
Перед добавлением вышеуказанного кода в .htaccess, убедитесь в том, что там нет вот такого кода:
Если он есть, удалите его и попробуйте авторизоваться.
Что же делает первый код? Он открывает доступ к /wp-login.php для всех кто попытается авторизоваться. Если хотите чтобы доступ был только у Вас, то нужно немного изменить код и указать свой IP адрес. Например, готовый код будет таким:
Как Вы поняли вместо 255.255.255.255 указываете свой IP адрес. Но есть один момент. Если у вас динамический IP, то есть меняется с каждым подключением, то Вам придется каждый раз менять его и в этом коде, что не очень удобно. Этот способ помогает в большинстве случаев.
Что делать если не помогло?
В моем случае мне ничего не помогло и я обнаружил что при изменении файла .htaccess, он принимает прежний вид, и даже если удалить его, то он снова появляется со своим содержимым, а именно начало строк в нем выглядит таким образом:
Чего быть не должно, при серьезных проблемах, я обращаюсь в тех. поддержку к своему хостинг провайдеру, на что получил ответ:
У вас что-то формирует автоматически файл .htaccess не дает его изменить и вставляет в начале код:
Order allow,deny
Deny from all
Order allow,deny
Allow from allВозможно вы устанавливали какие-то модули защиты, которые производят эти действия. Попробуйте вспомнить и отключить.
Я пытался вспомнить, но ничего у меня из этого не вышло, потому решил проверить еще несколько своих сайтов на возможность попасть в админ панель и увидел что на трех сайтах у меня одна и та же проблема.
Вернемся немного в прошлое, ранее я начал замечать что в корневой директории моих сайтов самопроизвольно создаются файлы с расширением *.php, сначала я их просто удалял и вроде бы все было нормально, но когда столкнулся с проблемой которую описываю выше я начал понимать, что схватил какой-то вирус, причем он вредит не конкретному сайту, а всей директории. И не важно самописный это сайт или работает на CMS.
Я прошерстил весь интернет в поисках решения проблемы, использовал пожалуй все способы и рекомендации, но ничего мне не помогло.
Ситуация на самом деле простая, находим файлы которые мешают нормальной работе и удаляем их. В моем случае это были файлы .htaccess и index.php, но дело в том что удалить их, или отредактировать невозможно, они перезаписываются снова и снова.
Файл index.php, который лежит в корне директории сайта на WordPress, содержит страшный набор символов.
Решение проблемы
Включаем голову и понимаем, что значит где-то в папках существует некий файл, который задает правило на создание этих вредоносных файлов, значит надо найти и обезвредить именно этот файл-паразит.
Но как среди тысячи файлов найти этого паразита, тем более считаю абсолютно не реальным открывать каждый и смотреть на его содержимое в поисках вредоносного кода, тем более если в принципе слабо понимаешь язык программирования.
Я зашел на хостинг панель, открыл раздел “менеджер файлов” и нашел там кнопку “Поиск”.
Написал в строке поиска index.php и значение искать во всем каталоге.
В результате поиска я обнаружил, что практически в каждой папке существует такой файл, причем даже в папках image, подумав логически, что в папке с изображениями файла index.php быть не может в априори, открыл его и понял что это и есть паразит и он расплодился по всей директории.
К сожалению я не сохранил, код из этого файла, но постараюсь на пальцах объяснить что я там увидел:
- Страшное словосочетание: @base64_decode
- Закодированные пароли password md5 (в две строки)
- Надписи о том что необходимо создавать файлы .htaccess
- И устанавливать права на файлы index.php, .htaccess 444
И чтобы не наделать глупостей и не удалить случайно нужные и исправные файлы index.php, я снова обратился к “Поиску”, но искал уже по содержимому и прописал маску имени @base64_decode, получил результаты поиска и начал удалять все файлы.
Несколько файлов мне удалить не удалось именно они и были паразитами, я написал в тех поддержку хостинга, с просьбой сделать это. Отреагировали они довольно быстро.
Теперь я вернулся к своим сайтам в админку которых я не могу зайти, удалил файлы index.php и .htaccess в корневой директории. Залил новые и проблема исчезла.
/**
* Front to the WordPress application. This file doesn’t do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
*
* @package WordPress
*//**
* Tells WordPress to load the WordPress theme and output it.
*
* @var bool
*/
define( ‘WP_USE_THEMES’, true );/** Loads the WordPress Environment and Template */
require __DIR__ . ‘/wp-blog-header.php’;
Правильный базовый код в .htaccess:
# BEGIN WordPress
RewriteEngine On
RewriteRule .* – [E=HTTP_AUTHORIZATION:%] RewriteBase /
RewriteRule ^index\.php$ – [L] RewriteCond % !-f
RewriteCond % !-d
RewriteRule . /index.php [L]# END WordPress
Обращаю внимание, что данный код указан для сайта на WordPress.
Что делать дальше
После того, как работа вашего сайта восстановилась, зайдите снова в админ панель вашего хостинга, в раздел менеджер файлов и воспользуйтесь поиском. Найдите и удалите все файлы .htaccess которые находятся вне корневой директории вашего сайта на WordPress. А также не поленитесь, найдите и удалите все лишние файлы, которые лежат не там где положено. Через поиск мне также удалось найти и избавиться от файлов под названием about.php, radio.php, index.php, content.php, lock360.php.
Далее, обновите версию CMS WordPress, а также все плагины.
Измените пароль от хостинга и пароль FTP пользователя.
Я пока не знаю причину возникновения данной проблемы, но возможно найду ее, главное что нам удалось избавиться от болячки, ведь терять свой сайт по такой глупости, было бы совершенно не логично.
Всегда старайтесь устанавливать на свои сайты, только оригинальные модули и плагины, покупайте их, если они платные. Нуленные модули и дополнения можно использовать, только ради теста и обязательно на другом, тестовом хостинге.
На этом у меня все. Надеюсь что данный материал оказался для вас полезным. Берегите свои сайты )