Kötü amaçlı yönlendirme. Truva atı virüsü JS:WordPress blogunda Yönlendirici-MC (mobil yönlendirme). Bu virüs ne işe yarıyor

Joomla'da arama yönlendirme virüsü nasıl tedavi edilir

28.04.2016

Bir Joomla web sitesini yönetirken, herhangi bir saldırıdan sonra sistemi periyodik olarak dezenfekte etmeniz gerekir. En rahatsız edici olanlardan biri, site bir kabuk tarafından kırıldığında ve ardından arama yönlendirme ekleri eklendiğinde, sitenizin arama motorunda göründüğü ancak kullanıcıyı porno veya İslami sitelere yönlendirdiği sözde arama yönlendirme virüsüdür. . Sonuç olarak, geçişten sonra aşağıdaki mesajı alırsınız:

Ardından arama motoru, sitenize virüs bulaştığını veya saldırıya uğradığını belirten benzer bir mesaj vermeye başlayacaktır. Ve Yandex'de konumunuzu bile kaybedeceksiniz. Sonuç olarak trafik kaybettiniz, müşteri kaybı yaşadınız ve sipariş eksikliği yaşadınız.

Kurtarma prosedürü.

1. Yedekleyin ve indirin.
2. Barındırmada antivirüs kontrolü yoksa, indirilen yedeği antivirüsle çalıştırın. Kabuk virüsü dosyalarını buluyoruz, benim durumumda bu PHP.Shell.387. Bu, kontrol sisteminin güvenliğindeki bir "delikten" yararlanan bir virüs türüdür.

3. Barındırmadaki virüs dosyalarını silin.
4. Yönetici panelindeki, FTP'deki şifreleri değiştirin
5. Truva atlarını aramak herhangi bir sonuç vermediğinden ve PHP kodunun nereye yerleştirildiğini manuel olarak aramak oldukça uzun sürdüğünden ve her zaman etkili olmadığından, bir yedek karışım yapıyorum. Mix, virüslerin bulaşmasından önce sitenin herhangi bir dosya yedeğidir, veritabanı yedekten değil güncel kalır, ardından klasörü yeni yedekten alırız Görüntüler resimler ve klasörle bileşenlercom_jshoppingfilesimg_productsürün fotoğrafları nerede?
Sonuç: Sonuçtan memnunuz.
Not: Yedekleme yoksa ne yapmalı? veya bunun için uzmanları dahil edin. Belki bir barındırma yedeği yardımcı olabilir, ancak otomatik olarak üzerine yazılacak ve virüs içereceğinden büyük olasılıkla sizi kurtarmayacaktır.

Daha sonraki önleme:

1. Tasarrufun tutumlu olması gerekmez. Mümkünse kontrol sistemini değiştirin.
2. Kesinlikle hostingi değiştirin. Bu konuda eksik kalmamalısınız. Timeweb deneyimime göre aynı Joomla iki kez bozuldu, ancak bu sorunun yarısı. Önemli olan, barındırma hizmetinin sunucularını üç ayda bir virüslere karşı taramamasıydı. Günlük antivirüs taramaları çalıştıran bir barındırma kullanmanızı öneririm ve ayrıca ücretsiz manuel antivirüs tarama hizmeti de mevcuttur. Örneğin, bu reg.ru
3. FTP şifrelerini kaydetmeyin.

Herkese selam. Bu kısa makale, WordPress blogunuzu aşağıdaki gibi virüslerden ve Truva atlarından korumaya ayrılacaktır: Mobil yönlendirme, diğer adıyla JS: Yönlendirici-MC . AVAST antivirüsü ve OPERA tarayıcısı kullanılarak tespit edilebilir; diğer antivirüsler henüz görmüyor, tekrar ediyorum, henüz görmüyorlar.

Blogunuzda bu virüsü fark ederseniz endişelenecek bir şey yok, şimdi size bu hastalıkla nasıl başa çıkacağınızı öğreteceğim. Opera tarayıcısını kullanarak siteye girdiğinizde “Trojan engellendi” penceresini, bulaşmayı gördünüz. JS:Yönlendirici-MC"Bu bizim mobil yönlendirmemiz.

Bununla şu şekilde mücadele edeceğiz.

Function.php dosyasını açın ve en altta aşağıdaki kodu bulabilirsiniz:

Bizim görevimiz bu kodu kaldırmaktır.

Bunu birkaç yolla yapabilirsiniz:

Kodu manuel olarak kaldırın.
Function.php dosyasının bir kopyasını bulun ve barındırma sisteminize yeniden yükleyin

Bu kodu kaldırdıktan sonra, blogda hala enfeksiyon olup olmadığını görmek için özel çevrimiçi hizmetleri kullanarak blogumuzu kontrol ederiz.

Muhtemelen bu virüsün nereden geldiğine dair sorularınız var. İnterneti araştırdım ve beni pek memnun etmeyen bir cevap buldum, onu ekran görüntüsü olarak buraya koyuyorum.

Okuduklarımıza göre WordPress hizmetimizin %100 güvenli olmadığı sonucuna varabiliriz.

Bu virüsü 2 blogda yakaladım, özellikle Timeweb hosting üzerinde bulunan bloglarınızı virüslere karşı kontrol etmenizi tavsiye ederim.

Virüs zamanında tespit edilmezse, blogunuz hızlı bir şekilde konumuna düşebilir, yüksek oranda başarısızlıkla karşılaşılır ve genel olarak sizi iyi bir şey beklemez.

Virüsü kaldırdıktan sonra şunu tavsiye ederim:

GüncelleWordPress
FTP şifresini değiştir
Barındırma şifresini değiştir
Bilgisayarınızda virüslere karşı tam bir tarama yapın

Blogunuz saldırıya uğradıysa, bunun hakkında zaten yazdım. En önemli şey bunu zamanında fark edip etkisiz hale getirmektir. Bir şey işe yaramazsa veya net değilse yardım için benimle iletişime geçin.

Virusday, web sitenizden yönlendirme virüsünü kaldırmanıza olanak tanır. Yönlendirme, kullanıcının orijinal sitedeki sayfaları görüntülemeye çalışırken üçüncü taraf bir siteye yeniden yönlendirilmesidir. Genellikle bu tür yönlendirmeler, kullanıcıları kötü amaçlı veya sahte yazılımların dağıtıldığı sitelere yönlendirir (örneğin, bir web tarayıcısı güncellemesi kisvesi altında). Bu tür programların indirilmesi ve kurulması, bilgisayarınıza veya mobil cihazınıza virüs bulaşmasına neden olabilir.

Çoğu durumda, kötü amaçlı kod sitenizin kökünde bulunan .htaccess dosyasına yazılır. Kötü amaçlı kod genellikle şöyle görünür:
Yeniden Yazma Motoru Açık
RewriteCond %(HTTP_REFERER) .*yandex.*
RewriteCond %(HTTP_REFERER) .*google.*
RewriteCond %(HTTP_REFERER) .*bing.*
RewriteRule ^(.*)$ http://maliciouswebsite.net/index.php?t=6

Bu tür yönlendirme kuralları, kullanıcıları Yandex, Google ve Bing arama motorlarından zararlıwebsite.net web sitesine yönlendirecektir.
Mobil yönlendirmeler genellikle yaygındır ve yalnızca kaynağınızı mobil cihazlardan ziyaret eden kullanıcıları etkiler.

Virüs tedavisi

Kötü amaçlı yönlendirmeleri otomatik olarak algılayıp kaldırabilen Virusday hizmetini kullanmanızı öneririz. Manuel olarak kaldırmak istiyorsanız talimatlar aşağıdaki gibidir:
1. FTP dosya yöneticisi aracılığıyla sitenize bağlantı kurun
2. Sitenin kök dizininde .htaccess dosyasını bulun
3. Kötü amaçlı kodu kaldırın ve dosyayı kaydedin

Artık yönlendirme kaldırıldığına göre rahat bir nefes alabilirsiniz gibi görünüyor ancak dosyanıza nasıl ve kim tarafından yerleştirildiğini bilmiyorsunuz ve bunun bir daha olup olmayacağını da kesinlikle bilmiyorsunuz ancak açıkça şüpheleniyorsunuz. öyle olacak. Geriye kalan tek şey, saldırganların sitenizin dosyalarına sızmayı başardığı güvenlik açığını bulmaya çalışmaktır. Virusday, saldırganlara dosyalarınıza tam erişim sağlayan kabukları bulabilir ve yok edebilir.

PHP dosyalarındaki virüsü yeniden yönlendir

Yalnızca .htaccess dosyasına kaydedilmeyi seven değil, aynı zamanda birçok (yüzlerce veya binlerce dosya) PHP dosyasına da kolayca kaydedilmelerine izin veren yönlendirme türleri vardır. Dosyalarda bu tür kötü amaçlı bir satırı açıkça tespit edemeyeceksiniz ancak PHP dosyalarından herhangi birini çalıştırdığınızda sitenizde yeniden yönlendirme gerçekleşecektir. Yönlendirme virüsünü tamamen ortadan kaldırmak için Virusday hizmetini kullanmanızı öneririz. Virusday, .htaccess ve *.php dosyalarındaki yönlendirmeleri algılar ve kaldırır.

Virüsün yeni formu Bilmediğimi görenler barındırılan siteleri büyük ölçüde etkiler güvenilmeyen sunucular, hesap/alt hesap kullanıcılarının birbirlerini "görebildiği" yer. Özellikle barındırma hesaplarının tümü "klasöründe yapılır" sanal konaklar"Yazı ve Hukuk kullanıcı klasörleri"sanal alan adları" çoğu durumda genel kullanıcıya...bayiye verilir. Bu, tipik web sunucularını kullanmayan bir yöntemdir WHM/CPaneli.

Action.htaccess - .htaccess Hack'i

Virüs dosyaları etkiler .htaccess sitenin kurbanları. Satır eklendi / Direktiflerİle ziyaretçileri yönlendir(Yahoo, MSN, Google, facebook, yaindex, Twitter, MySpace vb. trafiği yüksek site ve portallar baz alınarak) sunan bazı sitelere " antivirüs. "Bu sahte antivirüs, Önsözde bunun hakkında yazdım.

Görünüşe göre bu .htaccess kurbanlar: ( Aşağıdaki bağlantıların içeriğine erişilemiyor )

ErrorDocument 500 hxxp://wwww.peoriavaskülersurgery.com/main.php?i=J8iidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavaskülersurgery.com/main.php?i=J8iidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavaskülersurgery.com/main.php?i=J8iidsar/qmiRj7V8NOyJoXpA==&e=3

Yeniden Yazma Motoru Açık

RewriteCond%(HTTP_REFERER). *Yandex. *$
RewriteCond%(HTTP_REFERER). * Sınıf arkadaşları. *$
RewriteCond%(HTTP_REFERER). * Temas halinde. *$
RewriteCond%(HTTP_REFERER). * Rambler. *$
RewriteCond%(HTTP_REFERER). *Tüp. *$
RewriteCond%(HTTP_REFERER). *Wikipedia. *$
RewriteCond%(HTTP_REFERER). * Blogcu. *$
RewriteCond%(HTTP_REFERER). * Baidu. *$
RewriteCond%(HTTP_REFERER). * Qq.com. *$
RewriteCond%(HTTP_REFERER). *Benim alanım. *$
RewriteCond%(HTTP_REFERER). *Twitter'da. *$
RewriteCond%(HTTP_REFERER). *Facebook. *$
RewriteCond%(HTTP_REFERER). *Google. *$
RewriteCond%(HTTP_REFERER). *Canlı. *$
RewriteCond%(HTTP_REFERER). *AOL. *$
RewriteCond%(HTTP_REFERER). *Bing. *$
RewriteCond%(HTTP_REFERER). *Amazon. *$
RewriteCond%(HTTP_REFERER). * Ebay. *$
RewriteCond%(HTTP_REFERER). * LinkedIn. *$
RewriteCond%(HTTP_REFERER). *Flickr. *$
RewriteCond%(HTTP_REFERER). *LiveJasmin. *$
RewriteCond%(HTTP_REFERER). * Şöyle böyle. *$
RewriteCond%(HTTP_REFERER). *Çift tıklama. *$
RewriteCond%(HTTP_REFERER). * Pornhub. *$
RewriteCond%(HTTP_REFERER). *orkut. *$
RewriteCond%(HTTP_REFERER). * Canlı dergi. *$
RewriteCond%(HTTP_REFERER). *Wordpress'tir. *$
RewriteCond%(HTTP_REFERER). *Yahoo. *$
RewriteCond%(HTTP_REFERER). *Sormak. *$
RewriteCond%(HTTP_REFERER). *Heyecanlandırmak. *$
RewriteCond%(HTTP_REFERER). *Altavista. *$
RewriteCond%(HTTP_REFERER). *MSN. *$
RewriteCond%(HTTP_REFERER). *Netscape. *$
RewriteCond%(HTTP_REFERER). *Hotbot. *$
RewriteCond%(HTTP_REFERER). * Git. *$
RewriteCond%(HTTP_REFERER). * Bilgi arama. *$
RewriteCond%(HTTP_REFERER). * Anne. *$
RewriteCond%(HTTP_REFERER). *Tüm web. *$
RewriteCond%(HTTP_REFERER). *Lycos. *$
RewriteCond%(HTTP_REFERER). * Aramak. *$
RewriteCond%(HTTP_REFERER). * MetaCrawler. *$
RewriteCond%(HTTP_REFERER). *Posta. *$
RewriteCond%(HTTP_REFERER). * Köpek yığını. *$

Yeniden Yazma Kuralı. *

RewriteCond%() REQUEST_FILENAME!-E
RewriteCond%() REQUEST_FILENAME!-D
RewriteCond%() * REQUEST_FILENAME Jpg $ |!. *. Gif$ | *. png$
Yeniden Yazma%(HTTP_USER_AGENT). *Pencereler*.
Yeniden Yazma Kuralı. *

WordPress kullananlar dosyada bu satırları bulacaktır .htaccess itibaren public_html. Ayrıca virüs oluşturur. Htaccess dosyası aynı klasörde WP içeriği.

*Bunun yerine peoriavaskülersurgery.com'un göründüğü durumlar da vardır. dns.thesoulfoodcafe.com veya diğer adresler.

Bu virüs ne işe yarıyor?

Yönlendirildikten sonra ziyaretçiler şu mesajla kollarını açarak karşılanır:

Dikkat!
Bilgisayarda virüs ve kötü amaçlı yazılımların varlığına dair çeşitli işaretler bulunur. Virüs koruma sisteminizin acilen kontrol edilmesi gerekiyor!
Güvenlik sistemi, bilgisayarınızda virüslere ve kötü amaçlı yazılımlara karşı hızlı ve ücretsiz bir tarama gerçekleştirecektir.

Hangi tuşa basarsak basalım sayfaya yönlendiriliyoruz" Benim bilgisayarım"Taklit etmek için yaratıldı XP tasarımı. Bu, otomatik olarak bir "tarama" başlatır ve sonunda "virüslü" olduğunu tespit ederiz.

Tamam veya İptal düğmesine tıkladıktan sonra başlayacaktır. indirmek Dosyalar setup.exe. Bu setup.exe sahte bir antivirüs programıdır sistemi etkiliyor. Bazı kötü amaçlı yazılımların yüklenmesi, bağlantıların tehlikeye atılmasından daha fazla yayılır ve buna ek olarak bunlar antivirüs yazılımı(hepsi yanlış) kurbana satın alma teklif ediliyor.
Virüsle daha önce temas etmiş olanlar bu formu kullanabilir. Ek olarak, sabit sürücünün tamamının taranması önerilir. Tavsiye etmek Kaspersky internet güvenliği veya Kaspersky Anti-Virüs.

Bu tür virüs, işletim sistemi işletim sisteminin ziyaretçisine bulaşır Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 ve Windows 95. Şu ana kadar Windows Vista ve Windows 7 işletim sistemlerinde bilinen bir enfeksiyon vakası bulunmamaktadır.

Bu virüsü nasıl yok edebiliriz. Htaccess dosyasının sunucuya aktarılması ve bulaşmanın nasıl önleneceği.

1. Şüpheli dosyaların analizi ve kodların silinmesi. Dosyaya yalnızca dokunulmadığından emin olmak için .htaccess Mecbursun tüm dosyaları analiz et .php si . J'ler.

2. Dosyanın üzerine yazın. Htaccess ve kurulum CHMOD 644 veya 744 yalnızca yazma erişimiyle kullanıcı sahibi.

3. Klasördeki bir web sitesi için barındırma hesabı oluştururken / Ev veya /web kökü Bu, otomatik olarak genellikle bir kullanıcı adına sahip olan bir klasör oluşturacaktır ( Cpanel, FTP kullanıcısı Vesaire.). Bir kullanıcıdan diğerine veri kaydını ve virüs aktarımını önlemek için her kullanıcının klasörünün şu şekilde ayarlanması önerilir:

CHMOD 644 veya 744, 755 - 644 gösterilmiştir.
Chaun-R numarası_kullanıcı numarası_klasörü.
CHGRP-R numarası_kullanıcı numarası_klasör

LS-hepsi doğru yapılıp yapılmadığını kontrol etmenin yolları. Bunun gibi bir şey görünmelidir:

Dinamik hoparlörün dinamikleri drwx-x-x 12 4096 6 Mayıs 14: dinamikler 51 /
drwx-x-x 10 duran duran 4096 7 Mart 07: 46 duran /
drwx-x-x 12 Tüp Test Tüpü 4096 29 Ocak 11:23 Tüp /
drwxr-xr-x 14 Ekspres 4096 26 Şubat 2009 ekspres /
drwxr-xr-x 9 ezo ezo 4096 19 Mayıs 01: 09 ezo /
drwx-x-x 9 çiftlik 4096 çiftlik 19 22: 29 çiftlik /

Yukarıdaki FTP kullanıcılarından biri varsa Virüslü dosyalar Ana bilgisayarın başka bir kullanıcısına virüs gönderemez. Bir web sunucusunda barındırılan hesapları korumaya yönelik minimum güvenlik önlemi.

Bu virüsten etkilenen alanların ortak unsurları.

Etkilenen tüm alanlar, ziyaretçileri "/ içeren alan adına sahip sitelere yönlendirir" main.php? e = 4&sa ".

Bu " virüs. htaccess"Herhangi bir CMS'yi etkiler ( Joomla, WordPress, PHPBB vb.) kullanarak .htaccess.

. Htaccess Yönlendirme Virüsü Hack &.

Kötü Amaçlı/Virüs - .htaccess "yeniden yazma" ve yönlendirme

Hiçbir web sitesi sahibi, web sitesinden gelen trafiğin bilinmeyen sitelere yönlendirilmesini istemez - bu, her iki müşteri için de ilgi çekici değildir, müşterinin güvenini zedeler ve arama motorları ve antivirüslerin yaptırımlarına neden olur.

Bu makalede virüs yönlendirmelerini gömmek için ana seçeneklere bakacağım.

Dikkat! Bir yönlendirmeyi silerek yalnızca sonucu silmiş olursunuz; durumun tekrarlanmasını önlemek için siteye virüs bulaşmasının nedenini aramalısınız!

Ek olarak, kötü amaçlı yönlendirmeler tarayıcılar ve antivirüsler tarafından yeterince algılanamıyor, bu nedenle genellikle kötülüğün kaynağını manuel olarak aramanız gerekiyor.

Öncelikle dosyalara kod eklemeyi arıyoruz .htaccess, özellikle sitenin kökünde

İlgili her şey Yeniden yazmak Nereye yönlendirildiğini kontrol etmeye değer.

Aşağıda, aramada kapılar ve binlerce sayfa oluşturan, sözde Japonca spam (SEO spam, hiyeroglifli sayfalar - birçok isim var) oluşturan birkaç kötü amaçlı eklenti vereceğim:

RewriteRule ^([^\d\/]+)-(+)-(+)%(.*)+%+%([^\d\/]+)+%(.*)+%+%( [^\d\/]+)+%(.*)+%+%([^\d\/]+)([^\d\/]+)%(.*)+%+%+% (.*)+%+%(.*)F%(.*)+%(.*)+%([^\d\/]+)(+)%(.*)+%+%+% +%(.*)+%(.*)+%([^\d\/]+)+%(.*)+%+%+%(.*)+%+%+%(.*) +%(.*)+%+%(.*)+%([^\d\/]+)(.*)%(.*)+%(.*)+%(.*)(.* )%([^\d\/]+)F%(.*)+%+%([^\d\/]+)+%(.*)+%+%+(+)%(.* )+%+%(.*)(.*)%(.*)+%+%([^\d\/]+)+%(.*)+%+%(.*)([^\ d\/]+)%(.*)+%(.*)+%(.*)(+)%(.*)+%(.*)(.*)%+(.*)%(. *)+%+F%(.*)F%(.*)+%+%([^\d\/]+)(+)%(.*)+%+%(.*)([^ \d\/]+)%+\/.*..*$ ?$65$39=$62&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*-.*-F.*-([^\d\/ ]+).*-+..*$ ?$7$1=$3&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)(+)+%+([^\d\/]+)+%+(+)+%+([^\d \/]+)+%+(+)+%+([^\d\/]+)+%+(+)+%+([^\d\/]+)(+)%+(+ )+%+%+(+)+%+([^\d\/]+)-.*-+..*$ ?$15$1=$14&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)-+.*+..*$ ?$1$3=$2&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+).*HM+L.*+.*+N.*+YW.*+.*+.*(+)+.* +F.*W+.*+.*F+ZW.*HR.*(.*)--$ ?$2$10=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+).*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+).*..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+).*(+).*L+N.*YXJ.*HJ.*WF.*+.*Y+.*(.* ).*R.*Y.*V.*+Q.*$ ?$2$1=$4&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)\/$ ?$2$1=$3&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+).*(+).*L+.*+.*+YW.*+.*+.*(+)+-$ ? $2$8=$4&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*% +F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+).*HM+L.*+.*F+ZW.*WF.*+.*Y+.*(.*).* ZG+.*ZXN+.*WN.*ZH(.*).*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)$ ?$36$1=$35&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+$ ?$1$3=$4&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*- .*%+F$ ?$2$1=$3&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-+-.*-.*-. *-.*-.*%+F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)_+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/.*-.*-+-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/+.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)(.*)+%+%+-.*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)-.*-V.*%+(.*)+%+%+.*-S.*+..*$ ? $2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/.*-.*-+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)-+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)..*&.*=.*\:\/.*-+..*\/.*-.*-.* -.*-.*-.*\/&.*=+K([^\d\/]+)&.*=%(+)+%(.*)+%(+)+%([ ^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+%(+)+%([^\ d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([^\d\/]+)+ %(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^ \d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+) +%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\ d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)F%(+)+%( [^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+%(+)+% ([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+) %(+)+%([^\d\/]+)+&.*=+&.*=+&.*=+&.*=.*\:\/.*+..*.. *..*\/.*\?.*=OIP.(.*).*U.*+.*(+).*U.*+.*+V+.*Q(.*).*( +).*&.*=+.+&.*=+&.*=+&.*=+&.*=+&.*=+&.*=%(+)+%(.*) +%(+)+%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([ ^\d\/]+)+%(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%( [^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+% ([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)% (+)+%([^\d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+ )F%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+) +%+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\ d\/]+)(+)%(+)+%([^\d\/]+)+&.*=+.*+.*&.*=+.*+.*&.*= +.*+.*&.*=+.*+.*+.*&.*=+.*+.*+.*$ ?$148$146=$147&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)%([^\d\/]+)+%(+)+%([^\d\/]+)+% (+)+%([^\d\/]+)+%(+)+%+%(+)+%+([^\d\/]+)&.*=+&.*=+ $ ?$11$1=$10&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+% .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/$ ?$2$1=$3&%(QUERY_STRING )[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)%.*%.*+%.*%.*+%.*+%.*+%.*%.*+% +.*\/$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)\/.*-.*\/+\/.*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+\/$ ?$1$3=$4&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)+%+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+% +%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+ %([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=$50&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/.*-.*-.*-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)++%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+% ([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=$50&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/+.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)..*$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Yeniden Yazma Kuralı ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+% .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/.*\/+\/$ ?$2 $1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)&.*=-+$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)&.*=+$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*\/$ ?$1$3=$4&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*..*$ ?$2$1=$3&%(QUERY_STRING)[ L]

RewriteRule ^([^\d\/]+)-(+)-(+)..*$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%([^\d\/]+ )([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+)+ %+([^\d\/]+)\/$ ?$15$1=$14&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^(+)\/([^\d\/]+)(+)$ ?$2$1=$3&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)-+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)-.*\/\?.*=+$ ?$1$3=$2&%(QUERY_STRING)[L]

RewriteRule ^([^\d\/]+)-(+)-(+)-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Böyle bir şey görürseniz, onu güvenle silebilirsiniz; hangi satırların bırakılabileceğinden şüpheniz varsa, CMS'nizin standart dosyasını alın - orada virüs olmayacak!

Yönlendirmeler genellikle mobil ve tablet cihazlardan gelen istekler için belirlenir:

arama motorlarından geçişler için de:

yandex|google|mail|rambler|vk.com

Bu nokta yardımcı olmazsa sayfa koduna dikkat etmelisiniz - bazen yönlendirme genellikle Javascript aracılığıyla eklenir

Kötü amaçlı kodlardan kurtulmak için hepsini toplu olarak değiştirmeniz gerekebilir. .js Dosyalar.

Dizin dosyalarını ve şablon klasörünü kontrol ettiğinizden emin olun; bunlar bilgisayar korsanlarının virüsler için en sevdiği yerlerdir. Dosyaları özellikle dikkatli bir şekilde inceleyin index.php, alt bilgi.php, başlık.php, başlık.php- son zamanlarda virüslerin kendilerini bunlara değil, bağlantılar biçiminde yerleştirmek popüler hale geldi. Bu nedenle, komutları kullanarak hangi dosyaların yüklendiğini dikkatlice kontrol edin. katmak Ve gerekmek.

En karmaşık eklemeler, yüklenebilir modüllere, eklentilere ve bileşenlere yapılır. Bu, ayrı olarak uygulanan modüller (özellikle yönetici paneli saldırıya uğramışsa) veya yalnızca bilinen ve popüler uzantıların dosyalarına şifrelenmiş kod eklenmesi olabilir.

Örneğin son zamanlarda birden fazla siteyle karşılaştım. jumla(özellikle Joomla 2.5), yol boyunca nerede include/inc.class.php virüsün kendisi bulunur ve aynı klasördeki application.php dosyasına aşağıdaki satır eklenir

require_once($_SERVER["DOCUMENT_ROOT"]."/includes/inc.class.php");

Genellikle buna paralel kütüphaneler/joomla/uygulama joomla-app.php adında bir yönlendirme virüsü var

Her durumda, sitede üçüncü taraf bir siteye yönlendirme fark ederseniz, mutlaka güvenlik önlemleri almalı ve sitenin tamamını kontrol etmelisiniz. Eğer kendiniz halledemiyorsanız, o zaman kesinlikle virüs temizleme ve web sitesi koruması uzmanlarıyla iletişime geçmelisiniz.