Хакер добавил код в файл .htaccess для перенаправления всего трафика поисковой системы на вредоносный веб-сайт. Сейчас я расследую этот инцидент и пытаюсь найти лазейки в системе безопасности. Моя ситуация почти аналогична ситуации этого человека - .htaccess неоднократно взламывали
Вот пример попытки вторжения из журналов FTP -
Aug 6 02:43:31 sg2nlftpg002 [30887]: (?@91.220.0.19) [INFO] FTPUSER is now logged in
Aug 6 09:43:33 sg2nlftpg002 [30887]: (FTPUSER@91.220.0.19) [NOTICE] /home/content/81/7838581/html//.htaccess downloaded (846 bytes, 106.37KB/sec)
Aug 6 09:43:35 sg2nlftpg002 [30887]: (FTPUSER@91.220.0.19) [NOTICE] /home/content/81/7838581/html//.htaccess uploaded (1435 bytes, 3.32KB/sec)
Aug 6 09:43:35 sg2nlftpg002 [30887]: (FTPUSER@91.220.0.19) [INFO] Logout.
Это значительно отличается от моих обычных попыток входа в систему -
Aug 7 10:57:53 sg2nlftpg002 [11713]: session opened for local user FTPUSER from [my.ip.address]
Aug 7 10:58:28 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 1435 written 0
Aug 7 11:14:29 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 0 written 846
Aug 7 11:14:55 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 846 written 0
Aug 7 12:08:03 sg2nlftpg002 [11713]: session closed for local user FTPUSER from [my.ip.address]
Я прошел через Журналы HTTP-трафика, но ничего подозрительного там найти не удалось.
Другая информация, которая может быть полезна:
У меня вопрос, как предотвратить подобные атаки в будущем?
ОБНОВЛЕНИЕ
Если они вошли в систему по FTP, то Ваш пароль учетной записи пользователя поставлен под угрозу, и они - просто FTPing измененный файл. Контролируйте везде, это использует Ваш пароль учетной записи для собирающего пароль вредоносного программного обеспечения, затем измените пароль на что-то безопасное. Также рассмотрите использование метода без пароля аутентификации (такой как открытые ключи SSH), но если Ваша машина разработки переполнена вредоносным программным обеспечением, это может просто украсть ключ вместо этого.
Как уже упомянуто возможности состоят в том, что Ваши детали FTP были поставлены под угрозу (обычно от зараженного настольного ПК Windows где-нибудь, я нашел).
Я протестировал это в прошлом, намеренно войдя в систему с неправильным паролем от подозреваемого ПК, только чтобы видеть, что кто-то еще пытается войти в систему с тем же неправильным паролем 15 несколько минут спустя от внешнего IP-адреса. Очевидно, зараженный ПК осуществлял сниффинг пароля и передавал его назад к кораблю-носителю.
Самая практическая вещь сделать, ограничивают, где люди могут войти в FTP от на Вашем брандмауэре. Сложность пароля или шифрование, вероятно, сделают Вас отрицательный результат в этом случае, поскольку пароль крадется в источнике, и предполагаемой или прерванный по линии.
В iptables что-то вроде этого работало бы:
iptables-I ВВОДЯТ-p tcp - dport 21-s! ОТБРАСЫВАНИЕ X.X.X.X-j
(где X.X.X.X является IP Вашего офиса/дома, откуда Вы соединяетесь).
Вы для доступа FTP с помощью Общего Командующего? У моего друга был вирус, который собрал все пароли из TC.
У меня была серьезная проблема когда кто-то взломал мой файл .htaccess, и единственным решением было сделать этот файл недоступным для взлома. Сначала я очистил файл .htaccess и все файлы PHP от всех хаков. Затем я изменил права доступа к файлу на 444 (644 все еще разрешает доступ) для файла .htaccess. Затем я использовал доступ оболочки к моей учетной записи, чтобы сделать файл «неизменяемым», что означает, что его нельзя изменить!
Если у вас есть доступ к вашей учетной записи на сервере Linux, введите следующее: # chattr + i .htaccess
Теперь даже пользователи с правами root не могут изменить файл!
Если вам нужно отменить это, введите: # chattr -i .htaccess
Если у вас нет доступа к оболочке для вашей учетной записи, попросите ваш веб-хостинг ввести его, чтобы вы сделали файл неизменяемым.