.htaccess arquivo hackeado, como evitar isso no futuro? [fechadas]

5

O hacker adicionou um código no arquivo .htaccess para redirecionar todo o tráfego do mecanismo de pesquisa para um site de malware. Agora estou investigando esse incidente e tentando descobrir falhas de segurança. Minha situação é quase semelhante à desta pessoa - .acaccess sendo invadida repetidamente

Veja um exemplo de tentativa de intrusão dos registros do FTP -

    Aug  6 02:43:31 sg2nlftpg002 [30887]: ([email protected]) [INFO] FTPUSER is now logged in
    Aug  6 09:43:33 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess downloaded  (846 bytes, 106.37KB/sec)
    Aug  6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess uploaded  (1435 bytes, 3.32KB/sec)
    Aug  6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [INFO] Logout.

Isso é significativamente diferente das minhas tentativas normais de login -

    Aug  7 10:57:53 sg2nlftpg002 [11713]: session opened for local user FTPUSER from [my.ip.address]
    Aug  7 10:58:28 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 1435 written 0
    Aug  7 11:14:29 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 0 written 846
    Aug  7 11:14:55 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 846 written 0
    Aug  7 12:08:03 sg2nlftpg002 [11713]: session closed for local user FTPUSER from [my.ip.address]

Eu passei por registros de tráfego HTTP, mas não encontrei nada de suspeito por lá.

Outras informações que podem ser úteis:

  • Estou em um host compartilhado e o site é executado no WordPress, no BuddyPress e em outros plug-ins populares.
  • Até onde sei, todo software sob meu controle usa versões mais recentes e é atualizado regularmente.
  • Eu uso senhas strongs e atualizo-as regularmente. Acesse somente o site com SFTP e SSH usando PUTTY.
  • Minha máquina local está livre de vírus.

A minha pergunta é como evitar esses ataques no futuro?

UPDATE

  • Consulte o relatório do Google - link
  • Outro relatório relacionado à rede em que estou hospedado - link
por Arpit Tambi 09.08.2011 / 12:40

4 respostas

4

Se eles fizerem login via FTP, a senha da sua conta de usuário será comprometida e eles apenas enviarão por FTP o arquivo modificado. Faça uma auditoria em todos os lugares que usam a senha da sua conta para obter malware que coleta senhas e altere a senha para algo seguro. Considere também usar um método de autenticação sem senha (como chaves públicas SSH), mas se sua máquina de desenvolvimento estiver repleta de malware, ela poderá roubar a chave.

    
por 09.08.2011 / 12:44
1

Como já mencionado, as chances são de que seus detalhes de FTP tenham sido comprometidos (normalmente de um PC de mesa infectado do Windows em algum lugar que encontrei).

Eu testei isso no passado fazendo log-in intencionalmente com a senha errada de um PC suspeito, apenas para ver alguém tentar fazer login com a mesma senha errada 15 minutos depois de um endereço IP estrangeiro. Obviamente, o PC infectado estava farejando a senha e transmitindo-a de volta à nave-mãe.

A coisa mais prática a ser feita é restringir onde as pessoas podem se logar ao FTP no seu firewall. A complexidade ou a criptografia da senha provavelmente não farão nada bom nesse caso, pois a senha está sendo roubada na origem e não será adivinhada nem interceptada.

No iptables, algo assim funcionaria:

iptables -I INPUT -p tcp --dport 21 -s ! X.X.X.X -j DROP

(onde X.X.X.X é o IP do seu escritório / casa onde você se conecta).

    
por 09.08.2011 / 13:24
-1

Você é para acesso FTP usando o Total Commander? Meu amigo tinha um vírus que coletou todas as senhas do TC.

    
por 09.08.2011 / 14:07
-1

Eu tive um sério problema com alguém invadindo meu arquivo .htaccess e minha única solução era tornar o arquivo inacessível. Primeiro, limpei o arquivo .htaccess e quaisquer arquivos PHP de todos os hacks. Então eu mudei as permissões de arquivo para 444 (644 ainda permite acesso) no arquivo .htaccess. Então usei o shell de acesso à minha conta para tornar o arquivo "imutável", o que significa que não pode ser alterado!

Quando você tem acesso ao shell para sua conta no seu servidor Linux, digite o seguinte: # chattr + i .htaccess

Agora, mesmo aqueles com acesso root não podem alterar o arquivo!

Você precisa desfazer isso, digite: # chattr -i .htaccess

Se você não tem acesso shell à sua conta, pergunte ao seu host sobre como inserir isso para você tornar o arquivo imutável.

    
por 08.09.2013 / 18:19