Вредоносный код в файлах .htaccess

[olga-green.livejournal.com]

Здравствуйте!
Имеется сайт, недавно созданный, почти пустой, практически никем пока не посещаемый, даже владельцами. Работы по продвижению и т.д. пока не начинались.
Пришло письмо от компании-хостера, в котором было сказано:

"... уведомляем Вас о том, что вчера, 13 июня 2012г. в файлах .htaccess на
Вашем аккаунте был обнаружен вредоносный код. Во избежание потери
данных, доступ на сервер по FTP под именем пользователя "ААААА" для
Вашего аккаунта был нами блокирован. Для разблокировки FTP войдите,
пожалуйста, в контрольную панель Вашего аккаунта (тут реальная ссылка контрольной панели), установите новый пароль к FTP и разблокируйте вход к FTP. Вредоносный код из файлов .htaccess нами уже удален".

Что это может значить? Откуда мог появиться вредоносный код? Какую опасность для сайта такая ситуация может представлять в дальнейшем? Правильно ли сделали, что выполнили все, как написано в этом письме?

Судя по статистике, в этот день заходило несколько человек из совершенно разных мест. Каждый провел на сайте менее полминуты, каждый просто читал - никаких комментариев не оставлял.

Comments

[webeaver.livejournal.com]

На фтп заходили и пароль сохранился в программе, которой пользовались, а оттуда его уже стащил вирус. Так многие сайты заражались, даже весьма посещаемые.

[olga-green.livejournal.com]

А кто заходил? Мы? или злоумышленник какой-то?

[webeaver.livejournal.com]

естественно, вы ;) тот кто знал пароль
а на его комп позже пробрался вирус и сохраненный пароль стащил

[olga-green.livejournal.com]

Ясно, спасибо!

[webeaver.livejournal.com]

в общем, у вас возникает главный вопрос - что делать
1. проверить компьютер(ы), с которого(ых) выходили на фтп, почистить антивирусом
2. проверить файлы на сайте, тм код обычно дописывается к php,html,js файлам

[olga-green.livejournal.com]

Понятно, займемся. :)

[nicka-startcev.livejournal.com]

и обязательно сменить пароль.

[barselon.livejournal.com]

Хе хе хе. А хотите я угадаю хостера? С первого раза? На букву "Ма" начинается название да? :-)
Тут история такая.
Письма щастья получили не один Вы.
Скорее всего, сам хосетр и просрал базу паролей.
И теперь что бы не позориццо пошел по такому пути. Не говорить клиентам, дескать меняйте пароль, а угрожая ..ваш сайт атакован. Был изменен .htaccess Пошли переадресации. Мы его затерли. Смените пароли итд.
Файл этот вообще мог у вас в корне сайт и не быть. Если в этом деле не разбираетесь.
Но хостеру нужно было заставить вас сменить пароль на более кислотостойкий (вероятно у вас был простой пароль) или они сами прос..али вирус и теперь чистяццо от его действия.
Уверя лохов (юзеров) что .htaccess был заражен была переадресация и прочее прочее говнецо.
При етом например я, ежедневно проверяю сайт- и не один раз. ПЕРЕАДРЕСАЦИЙ у нас НЕ БЫЛО!!!! Это точно!
Обидно два вопроса.
1. Они сеют глупую панику у юзеров.
Люди точно знающие что вирусов у них на машинах НЕТ и пароли у них НЕ крали (по их вине), вынуждены лезть на свой сайт, менять пароли искать затертый (стертый).htaccess, восстанавливать его и прочее глупое говнецо.
Те кто вообще не в курсах о .htaccess на своем сайте начинают волноваться КАК украли пароль? Где кто у меня вирус и прочее прочее..
Эту вот панику тупо сеют хостеры у юзеров заставляя сменить пароли на более криптостойкие и показывая, что вот дескать КАК они работают! Обнаружили ваш косяк и его исправили.
Или же массируют свою тупизну..упустив вирус в своем же апаче и теперь вот заставляя всех менять пароли и переписывать стертые ими .htaccess, у тех у кого они вообще были на сайте прописаны.
Лично мое мнение по итогам этой истории такое:
Это фейк.
Никто никаких паролей у вас и у нас :-) и у кучи наших коллег НЕ крал.
Вирусов у вас нет.
Хостер либо симитировал Симбурде (с) либо сам просрал вирус и теперь спасает положение за счет клиентов.
Бесит..блин.. такая вот лабуда
Мало того что беспокойства, так еще и стерли этот .htaccess, лезь его восстанавливай сам :-(
Глубоко ИМХО хост "М" скоро даст дуба.
Я уже больше чем за месяц не вношу плату. Ибо че то каг то это все..вкупе с их старым оборудованием наводит на мысли о скором ихнем копеце :-)
Но ето мое мнение личное и моих коллег которые тоже получили эту херню от 13 числа.Одновременно со всеми.
И те кто в этом реально рубит, сразу сказали :какие вирусы?
При такой то защите и у всех сразу? (у многих хостующихся)
Явно гон хостера..
Менять пароли и наверно скоро валить от них :-)
Как то так да..
Прочел ваш пост и улыбнулся..
Еще один заволновавшийся из за несуществующей (наверно угрозы) чистящий свой комп БЕЗ вирусов, и волнующийся по вине самого хостера. Это грустно. ИМХО.
В итоге:
Проверьте свой комп, но скоре всего пароли у вас не крали.
Была низкая криптостойкость пароля и хостер вас пугнул :-)
Или они сами потреяли базу и теперь просят сменить пароли таким вот ловким образом.
Самого .htaccess у вас на сайте могло и не быть.
Т.е он есть конечно, но выше директорией :-)
Уже у хостера.
А свой Вы могли и не прописывать.
Вот. Удачи.

[olga-green.livejournal.com]

да-да-да! На букву "Ма" хостер.
И скорее всего вариант "Сами растеряли", потому что мы очень давно на ФТП не ходили (месяц - точно), и пароль у нас был хороший.
Да, сегодня потратила весь день на проверку и чистку компьютера от вирусов. Разумеется, ничего не нашла.
И да - многие ищут альтернативу ему из знакомых. Я вообще вношу плату только за две недели. :)

[sergey ivanov (from livejournal.com)]

мне тоже пришло такое же письмо.
Мажордомо взломали, и на всех сайтах которые хостятся на этом хостинге был поставлен вредоносный код.
на мои вопросы саппорту мажордомо указать чья сторона виновата в инцинденте: я или они - они отмалчиваются.

2 дня назад заметил что на свой сайт с мобильника было не зайти,
была переадресация на сайт злоумышленника, чтобы я отправил смс-ку со своего телефона
на короткий номер, номер естественно платный, примерно 500 руб. за 1 смс-ку

[olga-green.livejournal.com]

Спасибо! ВЫ меня успокоили. А то я думала, что кто-то лез со злыми намерениями именно на наш сайт. :)