Usuwamy wirusa PHP/Agent.NAG koń trojański z pliku .htaccess

Ostatnio kilku klientów miało problem z pewnym wirusem. ESET Nod 5 wykrywa go jako PHP/Agent.NAG koń trojański. Objaw:

przy wejściu na naszą stronę przez wyszukiwarkę Google zostajemy przekierowani na strone główną Google.

Przyczyną są zmodyfikowane pliki .htaccess

W pliku .htaccess mamy wpisy podobne do tego:

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|linkedin|flickr|filesearch|yell|openstat|metabot|gigablast|entireweb|amfibi|dmoz|yippy|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|infospace)\.(.*)

Leczenie:

  1. Przeczesujemy katalog /images i wszystkie jego podfoldery w poszukiwaniu podejrzanych plików. Zazwyczaj są to pliki PHP. Oczywiście kasujemy je.
  2. Szukamy podejrzanego pliku PHP w /components/com_content/helpers i usuwamy go.
  3. Usuwamy wszystkie pliki .htaccess. Ten w katalogu głównym strony oraz te, które powstały we wszystkich katalogach pierwszego poziomu, np. /administrator, /components, /modules itd.
  4. W katalogu głównym Joomli tworzymy plik .htaccess. Jego zawartość możemy znaleźć w pliku htaccess.txt w paczce instalacyjnej Joomli.

Aby sprawdzić czy wszystko jest ok musimy troche poczekać, ponieważ wirus nadpisuje plik .htaccess co 45 minut.

Jeśli problem nadal występuje, proponuję ściągnięcie wszystkich plików strony (np. za pomocą kopii Akeeba Backup) i przeskanowanie ich antywirusem.

Przede wszystkim pamiętajmy, aby mieć najnowszą możliwą wersję Joomli by zminimalizować ryzyko podobnych problemów.