O hacker adicionou um código no arquivo .htaccess para redirecionar todo o tráfego do mecanismo de pesquisa para um site de malware. Agora estou investigando esse incidente e tentando descobrir falhas de segurança. Minha situação é quase semelhante à desta pessoa - .acaccess sendo invadida repetidamente
Veja um exemplo de tentativa de intrusão dos registros do FTP -
Aug 6 02:43:31 sg2nlftpg002 [30887]: ([email protected]) [INFO] FTPUSER is now logged in
Aug 6 09:43:33 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess downloaded (846 bytes, 106.37KB/sec)
Aug 6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess uploaded (1435 bytes, 3.32KB/sec)
Aug 6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [INFO] Logout.
Isso é significativamente diferente das minhas tentativas normais de login -
Aug 7 10:57:53 sg2nlftpg002 [11713]: session opened for local user FTPUSER from [my.ip.address]
Aug 7 10:58:28 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 1435 written 0
Aug 7 11:14:29 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 0 written 846
Aug 7 11:14:55 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 846 written 0
Aug 7 12:08:03 sg2nlftpg002 [11713]: session closed for local user FTPUSER from [my.ip.address]
Eu passei por registros de tráfego HTTP, mas não encontrei nada de suspeito por lá.
Outras informações que podem ser úteis:
A minha pergunta é como evitar esses ataques no futuro?
UPDATE
Se eles fizerem login via FTP, a senha da sua conta de usuário será comprometida e eles apenas enviarão por FTP o arquivo modificado. Faça uma auditoria em todos os lugares que usam a senha da sua conta para obter malware que coleta senhas e altere a senha para algo seguro. Considere também usar um método de autenticação sem senha (como chaves públicas SSH), mas se sua máquina de desenvolvimento estiver repleta de malware, ela poderá roubar a chave.
Como já mencionado, as chances são de que seus detalhes de FTP tenham sido comprometidos (normalmente de um PC de mesa infectado do Windows em algum lugar que encontrei).
Eu testei isso no passado fazendo log-in intencionalmente com a senha errada de um PC suspeito, apenas para ver alguém tentar fazer login com a mesma senha errada 15 minutos depois de um endereço IP estrangeiro. Obviamente, o PC infectado estava farejando a senha e transmitindo-a de volta à nave-mãe.
A coisa mais prática a ser feita é restringir onde as pessoas podem se logar ao FTP no seu firewall. A complexidade ou a criptografia da senha provavelmente não farão nada bom nesse caso, pois a senha está sendo roubada na origem e não será adivinhada nem interceptada.
No iptables, algo assim funcionaria:
iptables -I INPUT -p tcp --dport 21 -s ! X.X.X.X -j DROP
(onde X.X.X.X é o IP do seu escritório / casa onde você se conecta).
Você é para acesso FTP usando o Total Commander? Meu amigo tinha um vírus que coletou todas as senhas do TC.
Eu tive um sério problema com alguém invadindo meu arquivo .htaccess e minha única solução era tornar o arquivo inacessível. Primeiro, limpei o arquivo .htaccess e quaisquer arquivos PHP de todos os hacks. Então eu mudei as permissões de arquivo para 444 (644 ainda permite acesso) no arquivo .htaccess. Então usei o shell de acesso à minha conta para tornar o arquivo "imutável", o que significa que não pode ser alterado!
Quando você tem acesso ao shell para sua conta no seu servidor Linux, digite o seguinte: # chattr + i .htaccess
Agora, mesmo aqueles com acesso root não podem alterar o arquivo!
Você precisa desfazer isso, digite: # chattr -i .htaccess
Se você não tem acesso shell à sua conta, pergunte ao seu host sobre como inserir isso para você tornar o arquivo imutável.