Подламывают htaccess

Неизвестные злоумышленники добавляют редирект в htaccess файл. Саппорт хостинга говорит мол проверяй комп, дают антималваре проги для проверки и дают новые пароли. Комп проверил, угроз нет. Пароли не использовал еще, не успел. И вот с утра снова редиректит.
Подскажите чего делать то, чистить постоянно конечно можно но не выход. Как то можно этот htaccess защитить?

а куда редиректит?

точно не записал но чтото вроде
sexymania.ro
ну или чтото похожее

так блин для начало наверное надо пароли поменять
да и, дело может быть не в твоем компе, а в дырявости скриптов которые стоят у тебя на хостинге
залили тебе туда шелл и через него меняют .htaccess

Скрипты смотри дыра в них скорее всего. залили бекдор и щас хоть заменяйся пароли нисего не поможет. птойденый этап уже

TradePulse'ом не пользуешься?

ВП темы типа фришные стоят?

пароли сразу резетнули, не помогло, через пару часов снова залезли. сейчас вроде как все работает.
TradePulse даж не знаю что такое.
вп темы есть ага. и да, было давно, находили в теме "вирус", сейчас сапорт говорит все просканили и все ок. буду пытать их дальше.

Попробуй сменить права на хтакцес chmod 444 .htaccess - только чтение или овнером поиграй, но не совсем понял что это у тебя сервер или просто виртуал хостинг

WordPress какой стоит ?

Franko писал:

Попробуй сменить права на хтакцес chmod 444 .htaccess - только чтение или овнером поиграй, но не совсем понял что это у тебя сервер или просто виртуал хостинг

несколько виртуалов подломали одновременно. пароли на всех разные были.
вордпресс в основном актуальный, но есть и несколько древних, сейчас обновляю. сапорту версии выдвинул, но говорят "по их опыту" либо через фтп клиента либо через почтовик скрысили пароли.

У тебя тупо шелл в теме ВП.

+1 чекай тему на предмет бэкдора

на предмет каких "слов" можно файлы чекать незнакомые, чтобы автоматом сразу запустить штук 500 файлов, а не глазами смотреть?

на форуме встречал советовали для быстрого поиска, а потом вручную просмотр файлов которые найдет

grep -RPni "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|eval|preg_replace) {0,1}\("/var/www/

А если по айпи ограничить доступ?

да, по айпи ограничить доступ посетителей к сайту. пусть звонять сообщают по телефону айпи, тогда пускать

+1 за шелл/бэкдор

бля...да фтп и шелл ограничить доступ по айпи

от шелла в теме ВП не спасет

блять саппорт у хостгатора это что то с чем то. через день пишут что мол все ьпросканировали сервер чистый, потом другой чел пишет что нашел в вп малваре, удалил, все чисто. через день опять новый чел пишет что нашел еще малваре, удалил, и так по кругу
причем не в темах вп зараза сидит, а в инклуд файлах.
а один виртуал все также нагибают, уже по несколько раз за день... продолжаем биться. всем спасибо, попробую им донести идеи.

Поставь вот этот плагин http://wordpress.org/extend/plugins/tac/
Он покажет зашифрованные куски в темах. Потом в инете найти онлайн расшифровщики и декодируй. И что значит в инклудах? Открыть и посмотреть что там админы не могут? Или сам посмотри, если чистый код - то вряд ли там что-то есть, а если закодирован, то тоже расшифровщиком.
Вполне может быть в коде вп встроена перезапись хтакцесса, если права у вп на запись стоят.
Еще, как вариант - поставь владельцем хтакцесса рута и дай право на запись только ему. Если все равно будет перезаписываться, то тогда проблема уже не вп, а в системе.

если пхп под тем же пользователем что и шелл то не показатель, к тому же шеллы/бэкдоры не обязательно так топорно себя ведут, обычно просто тихо мирно сидят, творят всякое

к слову, у кого-то есть интерес в серверном софте для поиска/удаления малвары на своих хостах?

rx писал:

к слову, у кого-то есть интерес в серверном софте для поиска/удаления малвары на своих хостах?

ну наверно у всех есть интерес так или иначе. в любых системах безопасности упакованных как готовый продукт.

в инклудах имел ввиду, что в вп-инклуд, в вп-админ даже нашли что то. все почистили и вроде день спокойно прошел тьфу тьфу тьфу

В таких делах ни автоматизированные системы безопасности ни админы хостинга не помогают. Сталкивался неоднократно (сказать точнее многократно) с такими вещами, терял только время и деньги. Часто после попыток защититься сталкивался с вредительством. Знакомые вообще теряли проекты после попыток извести злоумышленников. Пока не нашёл именно специалиста в области безопасности , проблему побороть не удалось. В таких случаях необходим опыт и знания недоступные нам, простым смертным умеющим только созидать и строить. Человек счас мониторит всё моё хозяйство, я сплю спокойно а по утрам не бегу смотреть что случилось на этот раз с моими сайтами а сажусь подбивать бабос. В общем-то тоже самое советую сделать и вам. Удачи!