Вирус

[mex3]

я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent

[AngelOfGrief]

Цитата:

Сообщение от mex3

я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent

Я думаю, вирусняк найдёт и исходный htaccess и его тоже перезапишет. Что тогда, ещё одну задачу cron создавать для перезаписи исходного htacсess -- и так до бесконечности?

[mex3]

Цитата:

Сообщение от AngelOfGrief

Я думаю, вирусняк найдёт и исходный htaccess и его тоже перезапишет. Что тогда, ещё одну задачу cron создавать для перезаписи исходного htacсess -- и так до бесконечности?

Такой умный вирусняк? Исходный можно генерировать. Но я практически уверена, что вирусняк достаточно туп, чтобы искать .htaccess по названию.
Можно заливать с другого, явно не зараженного, хоста - по крону же. Вариантов море, а у меня хорошая фантазия.

[AngelOfGrief]

Цитата:

Сообщение от mex3

Такой умный вирусняк? Исходный можно генерировать. Но я практически уверена, что вирусняк достаточно туп, чтобы искать .htaccess по названию.
Можно заливать с другого, явно не зараженного, хоста - по крону же. Вариантов море, а у меня хорошая фантазия.

Можно арендовать ещё один сервер и оттуда раз в сутки полностью перезаливать весь сайт.

В примере, который случился у моих друзей, .htaccess всех сайтов были отредактированы вручную! Т.е. это не вирус, это взлом. Ломанули ftp аккаунт, залили веб-шелл, исправили файлы htaccess во всех папках, где были действующие сайты.

Пока на сервере будет лежать веб шелл, ничего хорошего не будет.

[mex3]

Цитата:

Сообщение от AngelOfGrief

Можно арендовать ещё один сервер и оттуда раз в сутки полностью перезаливать весь сайт.

В примере, который случился у моих друзей, .htaccess всех сайтов были отредактированы вручную! Т.е. это не вирус, это взлом. Ломанули ftp аккаунт, залили веб-шелл, исправили файлы htaccess во всех папках, где были действующие сайты.

Пока на сервере будет лежать веб шелл, ничего хорошего не будет.

Я не верю в существование реального человека, который с завидным упорством будет вручную править .htaccess за кроном, который, скажем, раз в час будет перезаливать нормальный файл.

Это что-то вроде social engineering - есть ленивые админы сервера. Ленивые, но не шибко умные кулхацкеры решили этим воспользоваться - мозгов для полной автоматизации и захвата мира у них не хватило, они "на глаз" оценили потенциальную прибыль с ресурса, оценили трудозатраты по своей ручной работе. Им совершенно неважно, что там с этим конкретным ресурсом на самом деле. Скорее всего - он не первый и он не последний. Когда поток прибыли уменьшается - они "пробегаются ручками" по списку серверов. Он не достаточно большой и не так часто это нужно делать, чтоб им городить какую-то разумную автоматизацию.
Так вот, к чему это я.

Мы видим, что не очень аккуратными админами воспользовались не очень аккуратные злоумышленники, вероятнее всего. Будет там что-то по крону переписываться или нет - они, вероятнее всего, и не заметят даже - если они после ручного исправления файла тут же не активизировались раньше. Точно также продолжат изредка заходить и править руками - тогда, когда будет плановый обход.
Хоть и выглядит это решение криво - но оно весьма эффективно. Злоумышленники не замечают подвоха, вероятнее всего, наши админы спят. Идиллия, практически. В минусе - общая кривизна решения и некоторая погрешность из-за частоты обновления.

Если внимательно подумать, то выкорчевать веб-шелл - тоже не панацея. Он же как-то оказался на этом сервера. Почему они не могут повторить этот трюк снова? В этом случае нашим ленивым админам надо будет поднапрячься сильнее. Во-первых, найти сам веб-шелл. Но не забываем, что наши злоумышленники, скорее всего, действовали по какой-то кальке - и у них есть последовательность действий от и до, которую они в любой момент могут воспроизвести вручную. Нет никакого смысла выкорчевывать только веб-шелл. Если ftp аккаунт был взломан - то пока не будет сделано никаких особых действий по аккаунту - его с тем же успехом смогут точно также взламывать. Поэтому подчистить недостаточно, нужно вычищать всю цепочку действий, которая привела к данному исходу.

Я, конечно, всецело за второй вариант. Но есть 2 нюанса:
1. уже прошло пол года, а воз и ныне там
2. я не понимаю, почему пользователи мобильных устройств должны есть кактус, пока ленивые админы решают задачу о сферических конях в вакууме. Почему бы не использовать подпорку как временное решение, если задачу не получается решить сразу? (А пол года - это очень сильно не сразу, имхо).

[Maximus]

Цитата:

Сообщение от mex3

я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent

Быдлокодинг наше все!

[Yarick]

Цитата:

Сообщение от mex3

я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent

Вот поэтому вам рута и не дают :-)

[mex3]

Цитата:

Сообщение от Yarick

Вот поэтому вам рута и не дают :-)

Вообще-то я "рута просила" как раз для того, чтобы решить проблему без подпорок и костылей... ну и под "рутом" понимался скорее пользователь с достаточными для решения задачи правами, если б кто-то действительно выдал рута - я б скорее не решилась брать на себя ответственность разгребать подобный бардак из любви к прекрасному, доброму и светлому

эх, слишком буквально вы тут все всё понимаете. Или у меня шуточки слишком специфические, что потом ещё и объяснять приходится, что я не баклажан