Внезапно исчезает файл htaccess

@esculap_ra · Регистрация: 22.08.2010

Студворк — интернет-сервис помощи студентам

Привет гениальной братве!

Никто не сталкивался с такой проблемой, когда на хостинге исчезает файл htaccess? Диагностируется просто - на сайте невозможно перейти по внутренней ссылке. Лечится тоже просто - заливкой нового файла на хостинг. Вопрос не в этом. Возможно ли удалить критически важный файл извне, и как этому противостоять?

У меня такое уже повторилось дважды.

Заранее спасибо за совет!

Vovan-VE · 03.04.2013, 18:21

Что именно означает это «исчезают»? Именно удаляются - т.е. Вы их сначала видели глазами, а потом их не стало? В linux'ах файлы, имена которых начинаются на точку, считаются скрытыми.

Сообщение от esculap_ra

Возможно ли удалить критически важный файл извне, и как этому противостоять?

Через уязвимости Вашего сайта.
Угнали данные для доступа.
Залили shell на сайт.

@esculap_ra · 04.04.2013, 08:57 **[ТС]**

Собака зарыта в компоненте com_jce (это компонент комментариев в джумла). Через него файл был переименован 1 апреля в 2.txt. Просто теперь знаю, в каком направлении копать.

@JohnyV · 04.04.2013, 11:47

Сообщение от esculap_ra

Привет гениальной братве!

Никто не сталкивался с такой проблемой, когда на хостинге исчезает файл htaccess? Диагностируется просто - на сайте невозможно перейти по внутренней ссылке. Лечится тоже просто - заливкой нового файла на хостинг. Вопрос не в этом. Возможно ли удалить критически важный файл извне, и как этому противостоять?

У меня такое уже повторилось дважды.

Заранее спасибо за совет!

Да, файл можно без проблем удалить взломав Ваш аккаунт. Нужно просить техническую поддержку предоставить детальные логи.

Советую Вам также устанавливать защиту на запись файла с помощью SSH команды chattr -R +ias .htaccess

@esculap_ra · 04.04.2013, 14:31 **[ТС]**

Сообщение от JohnyV

Да, файл можно без проблем удалить взломав Ваш аккаунт. Нужно просить техническую поддержку предоставить детальные логи.

Действительно, аккаунт взломан. И с него провели серию ДДОС-атак. Служба поддержки заблокировала аккаунт, и пока молчит. Я в общем собирался и так переноситься на другой хостинг, теперь вопрос созрел. Правда гемора при миграции джумлы 1.5 до 3, но ничего не поделать - если уж коня менять, так седло и подавно.

@JohnyV · 05.04.2013, 10:31

Сообщение от esculap_ra

Действительно, аккаунт взломан. И с него провели серию ДДОС-атак. Служба поддержки заблокировала аккаунт, и пока молчит. Я в общем собирался и так переноситься на другой хостинг, теперь вопрос созрел. Правда гемора при миграции джумлы 1.5 до 3, но ничего не поделать - если уж коня менять, так седло и подавно.

Тех поддержка не должна блокирован аккаунт если он взломам, а должна предоставить Вам детальные инструкции как избавиться от взлома в дальнейшем, например как в следующей статье

@esculap_ra · 05.04.2013, 12:12 **[ТС]**

Сообщение от JohnyV

Тех поддержка не должна блокирован аккаунт

Это было сделано с целью предосторожности. Сейчас доступ с cPanel открыт и я уже снял БД. На локалке посмотрю нет ли в ней инъекции. Ну а старый движок все-одно пора заменить.

@Taatshi · 06.04.2013, 10:49

esculap_ra, лечится. Вычистить весь сайт. Но не просто вычистить - найти бэкдоры обязательно если есть - иначе не поможет.

После этого просто смените версию JCE не последнюю актуальную.

У меня сейчас очередь таких сайтов на лечение - и на всех JCE версии 1.5.3 и ниже. А последняя - 2.3.2.4

Обновляйте компоненты вовремя - нельзя так несерьезно относиться к безопасности. И не только JCE уязвим, и не только на Joomla.

Инъекций в бд скорее всего не будет - если у Вас там не суперкомплексный подход)

@JohnyV · 08.04.2013, 11:33

Причины взлома бывают разные:

Первая причина взлома - это кража или подбор паролей к вашему ФТП аккаунту или к административной части вашего сайта. Такое может произойти из-за вируса на вашем ПК, ОС или из-за устаревшей,уязвимой версии браузера, с которого был скачан сохраненный пароль, или установленный пароль был слишком прост(например состоял только с цифр) и его легко подобрали. Что касается подбора паролей, то на нашем хостинге, на всех серверах установлен фаэрвол который блокирует IP адрес, если с него на протяжении 5 минут делают больше 5 попыток ввода неверных даных.

Поэтому, всегда устанавливайте надежный пароль, который состоит из цифр, больших и маленьких букв,а также содержит другие символы клавиатуры. Для генерации паролей можете использовать соответствующие онлайн ресурсы. Не храните пароли в непроверенных приложениях на незащищенных(без антивирусов) ПК.

Вторая причина взлома - это устаревшая, уязвимая версия CMS системы(ее компонентов,плагинов) на которой работает Ваш сайт. Самые “любимые” CMS для хакеров - это Joomla и WordPress . Сделав проверку сотни сайтов работающих на CMS Joomla,что расположены на наших серверах, мы получили следующее, что 79% из них не используют последние релизы соответствующих веток .

Что касается WordPress ситуация выглядит аналогично - 71% не обновлены к последней Stable версии. А риск взлома сайтов на устаревших версиях CMS очень высок, и это уже никак не зависит от нас, как хостера. А еще большая часть взломов CMS происходит через “дырявые” плагины и компоненты которые устанавливает себе клиент. И через эти "дыры" загружают всяческие exploit, iframe , php shell на сервер.

Нами замечены следующие уязвимые компоненты и скрипты, запросами к которым зачастую взламывают сайты, для CMS Joomla это:

- подмена файлов LICENCE.php ;

- загрузка php shell в templates/beez/html/mod_login/ и замена templates/beez/index.php

для WordPress :

- замена wp-login.php ;

- загрузка php shell и php eMailer через:

wp-content/plugins/wp-my-admin-bar ;
wp-includes/js/tinymce/ ;
wp-content/themes/infinity .

- уязвимость темы timthumb.php ,о которой мы писали здесь.

В свою очередь хотим уведомить Вас о том, что со стороны хостинга, внедрено ряд настроек по повышению безопасности сайтов клиента.А именно на каждом сервере:

- установлен Firewall;

- включены mod_security и suhosin;

- в PHP выключены такие функции, как: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, allow_url_fopen ;

- выключены safe_mode и register_globals .

Подытожив выше сказанное, запишем коротко

Ваши действия в случае взлома сайта:

1. Проверить файлы сайта на предмет последних изменений,скачав их на локальный ПК или проверив через встроенный менеджер файлов в панели Cpanel.

2. Восстановить сайт из архивной копии.

3. Проверить наличие обновления CMS сайта , для Joomla или для WordPress ,а также установленные модули, плагины и компоненты CMS.

4. Сменить пароль доступа к хостингу(ФТП аккаунтов) и административный пароль доступа к сайту.

5. Очистить каталоги cache/ и tmp/ сайта.

Если следить за обновлениями CMS сайта , устанавливать компоненты только с проверенных источников, работать с сайтом только с защищенных ПК и иметь надежные пароли - вероятность взлома вашего сайта будет минимальная.

@esculap_ra · 08.04.2013, 14:02 **[ТС]**

Всем спасибо. Сайт уже работает на другом хостинге. главный вывод из этого урока - не пренебрегать мерами безопасности!

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@esculap_ra 462 / 265 / 55 Регистрация: 22.08.2010 Сообщений: 1,204 Записей в блоге: 4

	Внезапно исчезает файл htaccess 03.04.2013, 17:44. Показов 6480. Ответов 9 Метки нет (Все метки) Привет гениальной братве! Никто не сталкивался с такой проблемой, когда на хостинге исчезает файл htaccess? Диагностируется просто - на сайте невозможно перейти по внутренней ссылке. Лечится тоже просто - заливкой нового файла на хостинг. Вопрос не в этом. Возможно ли удалить критически важный файл извне, и как этому противостоять? У меня такое уже повторилось дважды. Заранее спасибо за совет! 0

@esculap_ra 462 / 265 / 55 Регистрация: 22.08.2010 Сообщений: 1,204 Записей в блоге: 4
	04.04.2013, 08:57 [ТС]
	Собака зарыта в компоненте com_jce (это компонент комментариев в джумла). Через него файл был переименован 1 апреля в 2.txt. Просто теперь знаю, в каком направлении копать. 0

@Taatshi Почетный модератор 12274 / 5340 / 268 Регистрация: 05.04.2011 Сообщений: 14,086 Записей в блоге: 2
	06.04.2013, 10:49
	esculap_ra, лечится. Вычистить весь сайт. Но не просто вычистить - найти бэкдоры обязательно если есть - иначе не поможет. После этого просто смените версию JCE не последнюю актуальную. У меня сейчас очередь таких сайтов на лечение - и на всех JCE версии 1.5.3 и ниже. А последняя - 2.3.2.4 Обновляйте компоненты вовремя - нельзя так несерьезно относиться к безопасности. И не только JCE уязвим, и не только на Joomla. Инъекций в бд скорее всего не будет - если у Вас там не суперкомплексный подход) 0

@JohnyV 72 / 75 / 4 Регистрация: 05.11.2012 Сообщений: 471 Записей в блоге: 1
	08.04.2013, 11:33
	Причины взлома бывают разные: Первая причина взлома - это кража или подбор паролей к вашему ФТП аккаунту или к административной части вашего сайта. Такое может произойти из-за вируса на вашем ПК, ОС или из-за устаревшей,уязвимой версии браузера, с которого был скачан сохраненный пароль, или установленный пароль был слишком прост(например состоял только с цифр) и его легко подобрали. Что касается подбора паролей, то на нашем хостинге, на всех серверах установлен фаэрвол который блокирует IP адрес, если с него на протяжении 5 минут делают больше 5 попыток ввода неверных даных. Поэтому, всегда устанавливайте надежный пароль, который состоит из цифр, больших и маленьких букв,а также содержит другие символы клавиатуры. Для генерации паролей можете использовать соответствующие онлайн ресурсы. Не храните пароли в непроверенных приложениях на незащищенных(без антивирусов) ПК. Вторая причина взлома - это устаревшая, уязвимая версия CMS системы(ее компонентов,плагинов) на которой работает Ваш сайт. Самые “любимые” CMS для хакеров - это Joomla и WordPress . Сделав проверку сотни сайтов работающих на CMS Joomla,что расположены на наших серверах, мы получили следующее, что 79% из них не используют последние релизы соответствующих веток . Что касается WordPress ситуация выглядит аналогично - 71% не обновлены к последней Stable версии. А риск взлома сайтов на устаревших версиях CMS очень высок, и это уже никак не зависит от нас, как хостера. А еще большая часть взломов CMS происходит через “дырявые” плагины и компоненты которые устанавливает себе клиент. И через эти "дыры" загружают всяческие exploit, iframe , php shell на сервер. Нами замечены следующие уязвимые компоненты и скрипты, запросами к которым зачастую взламывают сайты, для CMS Joomla это: - подмена файлов LICENCE.php ; - загрузка php shell в templates/beez/html/mod_login/ и замена templates/beez/index.php для WordPress : - замена wp-login.php ; - загрузка php shell и php eMailer через: wp-content/plugins/wp-my-admin-bar ; wp-includes/js/tinymce/ ; wp-content/themes/infinity . - уязвимость темы timthumb.php ,о которой мы писали здесь. В свою очередь хотим уведомить Вас о том, что со стороны хостинга, внедрено ряд настроек по повышению безопасности сайтов клиента.А именно на каждом сервере: - установлен Firewall; - включены mod_security и suhosin; - в PHP выключены такие функции, как: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, allow_url_fopen ; - выключены safe_mode и register_globals . Подытожив выше сказанное, запишем коротко Ваши действия в случае взлома сайта: 1. Проверить файлы сайта на предмет последних изменений,скачав их на локальный ПК или проверив через встроенный менеджер файлов в панели Cpanel. 2. Восстановить сайт из архивной копии. 3. Проверить наличие обновления CMS сайта , для Joomla или для WordPress ,а также установленные модули, плагины и компоненты CMS. 4. Сменить пароль доступа к хостингу(ФТП аккаунтов) и административный пароль доступа к сайту. 5. Очистить каталоги cache/ и tmp/ сайта. Если следить за обновлениями CMS сайта , устанавливать компоненты только с проверенных источников, работать с сайтом только с защищенных ПК и иметь надежные пароли - вероятность взлома вашего сайта будет минимальная. 0

@esculap_ra 462 / 265 / 55 Регистрация: 22.08.2010 Сообщений: 1,204 Записей в блоге: 4
	08.04.2013, 14:02 [ТС]
	Всем спасибо. Сайт уже работает на другом хостинге. главный вывод из этого урока - не пренебрегать мерами безопасности! 0