Помощь Невозможно отредактировать .htaccess

[Freeman Liberty]

Понадобилось внести кое какие изменения в стандартный .htaccess

Но, спустя несколько минут после внесения необходимых исправлений файл снова оказывается сброшен до дефолтного состояния и выставлены права 444

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . index.php [L]

</IfModule>

Предполагаю, что это какой-то из установленных на сайте плагинов своевольничает (хотя набор вроде тот же, что и на других сайтах, а там такого не наблюдается).


Буду признателен если подскажите с чем может быть связано такое поведение.

В админ панели пишут, что .htaccess недоступен на запись. Когда меню права, они также через несколько минут снова устанавливаются на 444.
Из плагинов грешу на BackupBuddy или Yoast SEO Premium
Но, может дело и не в них вовсе?

 

[latteo]

Как это ни странно, но однажды я такое встречал в коде вируса, дописанного в index.php WP
Самый простой способ определить скрипт - это поиск по файлам на вхождение фразы "htaccess".
Если ничего не найдено, запустить проверку через ai-bolit - в логах будут отсылки на подозрительный код.

 

[Freeman Liberty]

Я так понимаю, что основная версия это внедрение стороннего кода?
Проблем не в сревере, т.к. практически идентичная копия того же сайта работает на том же хостинге без проблем.

 

[latteo]

Айболит не панацея, посмотрите его код он ищет по кускам сигнатур, свежие фичи ему не по силам.
Второе любое слово будь-то htaccess или еще какое современные вирусы раскидывают по буквычкам и в разные файлы.
Есть еще такая фича код вписываемый вирусом в файл php сначало трет комменты на размер своего кода а потом его туда пишут.
Тут айболит становится полной лажой!

Знаете более надежные инструменты так запостите их название и ссылки.
айболит единственный из современных и публичных инструментов, который хоть что-то ищет адекватно, остальные либо основываются на его сигнатурах, либо говорят что все чисто на вирусню.
И он неплохо определяет подозрительные файлы с eval и прочими прелестями.

 

[latteo]

Я так понимаю, что основная версия это внедрение стороннего кода?
Проблем не в сревере, т.к. практически идентичная копия того же сайта работает на том же хостинге без проблем.

Это одна из версий и довольно вероятная.
2я версия защита встроенная в некий плагин - вы её сами привели.
3я защита поднятая хостером - маловероятно, но такое тоже встречается.
4я проверьте крон задачи в панели хостера и crontab, если есть доступ к консольке сервера - здесь как хостер так и вы могли защиту поставить.
Наверняка список можно продолжить, но пока идей нет.

 

[Freeman Liberty]

Вообщем, дело оказалось действительно во вредоносном коде
Несколько левых php фалов в корне (и как я их сразу не заметил?) и странный плагин easyrotator-for-wordpress
Прогнал Айболитом - тот жалуется на теже папки и файлы.
Вроде все поудалял.
Изменеия в .htaccess внес, пока вроде как все благополучно.

 

[Nightfaust]

Вот потому и нужно ставить запрет на редактирование и изменении прав для .htaccess

 

[Sorcus]

Вот потому и нужно ставить запрет на редактирование и изменении прав для .htaccess

Причем тут это? Какой еще запрет на .htaccess? Как будто .htaccess это единственное, через что можно взламывать движки.
Ломают чаще всего через кривые дополнения/расширения, через темы, скачанные на ***но-варезниках и т.д.

Вообщем, дело оказалось действительно во вредоносном коде
Несколько левых php фалов в корне (и как я их сразу не заметил?) и странный плагин easyrotator-for-wordpress
Прогнал Айболитом - тот жалуется на теже папки и файлы.
Вроде все поудалял.
Изменеия в .htaccess внес, пока вроде как все благополучно.

Не хочу тебя огорчать, но ты скорее всего не все вычистил, особенно если чистил только в корне. Т.к. вредоносы могут быть в разных директориях + быть скрытыми.
Если твой сайт/сервер ломанули и успели дел наделать, то единственное правильное решение - полный снос и разворачивание всего этого добра по-новой используя последние версии софта (И никаких плагинов/расширений/тем/пакетов скачанных с левых сайтов. Даже с нульки.). Все остальные решения не эффективны. Избавиться гарантированно от зловреда без переустановок можно только в том случае, если у тебя есть хэш-суммы на все файлы в системе и наличие/отсутствие файлов где-то четко зафиксированно.

 

[Nightfaust]

Причем тут это? Какой еще запрет на .htaccess? Как будто .htaccess это единственное, через что можно взламывать движки.

да нет конечно. Взломать сайт можно множеством способов. Конкретно в случае ТС помогает chattr.

 

[mikhailnov]

скрипты вообще не должны иметь прав на запись в htaccess, он вообще должен руту или другому отличному от веб-сервера пользователю принадлежать