.htaccess sendo invadido repetidamente [duplicado]

Navegue suas respostas
3

Cerca de quatro ou cinco dias atrás, um cliente me disse que o site estava sendo redirecionado para outro site com aparência suspeita do Google, Yahoo etc., mas estava funcionando bem quando o usuário digitou o URL do site em a barra de endereços do navegador diretamente.

Tentei entrar em contato com meu provedor de hospedagem, mas no começo eles eram pouco ou nenhum tipo de ajuda e depois pareciam demorar uma eternidade para descobrir o problema.

Frustrada pela espera, parti para descobrir o que havia acontecido. Depois de procurar no Google algumas soluções, descobri que meu arquivo .htaccess havia sido invadido.

O que foi: 

<Files *>
Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0"
Header set Expires: 0
Header set Pragma: no-cache
</Files>

tornou-se 

<Files *>
Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0"
Header set Expires: 0
Header set Pragma: no-cache
</Files>
//several hundred empty lines later
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ /*don't want to post the malicious URL here for fear of retaliation */[R=301,L]

Basicamente, o bot que me invadiu parecia escrever instruções para redirecionar todo o tráfego proveniente dos sites importantes para o site de vírus.

Eu consertei imediatamente removendo o código ofensivo e me senti muito bem com o meu eu inteligente. Também removi o arquivo .htaccess da pasta principal que é acessada pelo público e mantive uma pasta acima, na raiz. Também alterei as permissões para 444, somente para leitura por qualquer pessoa. Eu mudei as senhas para o meu acesso FTP, meu painel de controle de hospedagem, bancos de dados MySQL, et al.

No entanto, hoje a questão estava de volta. Acontece que um novo arquivo .htaccess foi instalado na minha pasta public_html, e isso tinha apenas o código ofensivo que escrevi acima e nada mais.

O que está acontecendo?

Tenho a sensação de que isso não é o caso de minhas senhas serem comprometidas. Eu estou em hospedagem compartilhada, e talvez alguém no mesmo disco rígido escreveu um pedaço de código que foi escrito arquivos .htaccess alegremente para todos os seus vizinhos. Isso é possível? E há algo que eu possa fazer para que isso não aconteça novamente?

Não há como reinstalar ou fazer qualquer coisa no sistema operacional principal do host ...

    
por Aditya M P 24.09.2010 / 10:43

5 respostas

5

Pessoal, achei as baratas !

Eu fiz tudo, inclusive alterei a senha do FTP, hospedei a senha do painel, (dolorosamente) limpei todos os 2GB e fiz o upload de tudo de volta, e alterei a senha do banco de dados.

Eles ainda entraram.

Os registros de FTP não mostraram nada além de minhas próprias ações. Além disso, o último registro de data e hora modificado do arquivo .htaccess é exatamente igual ao timestamp (sempre que eu corrigi-lo de sua perversão repetida), então não havia como saber quando e como as modificações foram feitas Lugar, colocar. Eu acho que eles estavam usando filemtime() e touch() para fazer isso.

Bem, acontece que os arquivos do rouge estão entrando na instalação do osCommerce. Eu não sei como, mas especificamente, é através da área de administração. Nas pastas administrativas, há esses arquivos externos chamados "google_analitis (sic) _somenumber". Eu os notei no meu principal leitor de estatísticas. Eu olhei todos os arquivos que estavam sendo acessados (os logs normais) hoje, e para minha sorte, o arquivo foi hackeado novamente hoje, então eu suspeitei que havia um script rouge e e-e-eis, esses arquivos receberam o spammer-fedor escrito em todo o seu nome de arquivo.

Eu os abri e, com certeza, eles estavam fazendo um monte de travessuras.

Acabei de abrir um dos arquivos usando a URL, e fiquei realmente surpreso com a quantidade de controle que esses arquivos estavam fornecendo ... foi um painel de controle paralelo para todo o site!

Espero que isso ajude alguém ... olhe para seus aplicativos de terceiros, especialmente quando você vê um grande número de bots desconhecidos subindo e descendo seu site.

    
por 01.10.2010 / 19:39
5

Seu site foi invadido. Você precisa limpá-lo e restaurar a partir de um bom backup conhecido. Mantenha uma cópia do site invadido e seus registros para que você possa compará-lo ao bom site e tentar descobrir como o site foi comprometido.

    
por 24.09.2010 / 11:25
0

Talvez seja uma boa idéia verificar os logs de FTP do site ou perguntar ao seu provedor se você não tem acesso a eles. É bem possível que alguém tenha seus detalhes de FTP de alguma forma e atualizado o arquivo .htaccess (normalmente eles gostam de editar o índice. * Arquivos). Já vimos isso muitas vezes com computadores clientes sendo infectados por um trojan ou algo semelhante.

Você disse que removeu o arquivo .htaccess completamente. Isso sugere que eles conseguiram criar arquivos. O acesso ao FTP é mais provável, mas, também verifique as permissões no diretório principal (public_html) em que os arquivos estão. Certifique-se de que eles não sejam globalmente graváveis.

Geralmente, não é possível editar / criar arquivos em sites de outras pessoas em um servidor compartilhado, a menos que as permissões sejam negligentes.

    
por 24.09.2010 / 10:53
0

Patch rápido: encontre todos os diretórios que tenham acesso público. Em cada diretório crie um arquivo .htaccess vazio, mude sua propriedade para root, torne-o somente leitura, torne o diretório pegajoso (+ t) para que os usuários possam apenas alterar os arquivos que possuem.

Em seguida, leia algumas documentações sobre como proteger sites e arquivos htaccess (dica: pode ser útil trabalhar em seus arquivos de configuração do apache e tocar com vários sinalizadores).

    
por 24.09.2010 / 11:21
0

Eu tive um sério problema com alguém invadindo meu arquivo .htaccess e minha única solução era tornar o arquivo inacessível. Primeiro, limpei o arquivo .htaccess e quaisquer arquivos PHP de todos os hacks. Então eu mudei as permissões de arquivo para 444 (644 ainda permite acesso) no arquivo .htaccess. Então eu usei o shell de acesso à minha conta para tornar o arquivo "imutável", o que significa que não pode ser alterado!

Quando você tiver acesso ao shell da sua conta no seu servidor Linux, digite o seguinte: # chattr + i .htaccess

Agora, mesmo aqueles com acesso root não podem alterar o arquivo!

Você precisa desfazer isso, digite: # chattr -i .htaccess

Se você não tem acesso shell à sua conta, pergunte ao seu host sobre como inserir isso para você tornar o arquivo imutável.

Para contas que não são do Linux, basta digitar "tornar o arquivo imutável" no Google ou no Bing para o seu tipo de servidor da web. Isso deve fornecer as informações de que você precisa.

    
por 08.09.2013 / 18:22

Tags

Posso iniciar um Serviço do Windows em outro servidor a partir da linha de comando? Registros Host / A e Localização Geográfica