Разделение веб-сайта нападает через поставленную под угрозу учетную запись FTP
Хорошо, я наконец преуспел в том, чтобы настроить свою конфигурацию.
Идея состоит в том, чтобы использовать другой поддельный адрес, чтобы вызвать маршрут этого поддельного адреса к интерфейсу 2, затем перевести поддельный адрес с действительным адресом 2 с NAT/iptables.
Мой набор на самом деле сделан из одного маршрутизатора, я могу telnet между IF1 (взаимодействуйте через интерфейс 1), и IF2
В моем наборе, FAKE_ADDR и IF1_ADDR находятся на той же подсети.
ifconfig $IF1 $IF1_ADDR netmask 255.255.255.0
ifconfig $IF2 $IF2_ADDR netmask 255.255.255.0
iptables -t nat -A PREROUTING -d $FAKE_ADDR -i $IF2 -j DNAT --to-destination $IF2_ADDR
iptables -t nat -A POSTROUTING -s $IF2_ADDR -d $IF1_ADDR/24 -j SNAT --to-source $FAKE_ADDR
route add $FAKE_ADDR gw $ROUTER_ADDR
И на маршрутизаторе:
route add $FAKE_ADDR gw $IF2_ADDR
Если я отправляю что-то в FAKE_ADDR, PKT передается через IF1 маршрутизатору, переданному снова IF2, то FAKE_IP заменяется IF2_ADDR. Пакет обрабатывается сервером, результат, передают обратно IF1_ADDR, от IF2_ADDR, который заменяется FAKE_ADDR.
Может быть это, возможно использовать более простую конфигурацию со всего одним перекрестным кабелем, но поскольку я не сделал попробовал, я предпочитаю давать свое рабочее решение.
Something twinged as familiar while reading through your post. Then it hit me: I had seen this before, over a month ago, when trying to access a site for a game. See here - same behavior, the redirect action taken just on search engine referrers.
The domain name in your .htaccess looked familiar because my home computer's antivirus had made loud noises about it to me weeks ago.
And, wouldn't you know it, the host of the site that I'd observed this on? GoDaddy.
I don't think you got brute-forced or had your password compromised through any fault of your own; I think GoDaddy was the one compromised here. And I wouldn't put it past them to store the FTP passwords in plain text. Some more digging found this article suggesting the same; brute force protection may be the least of their issues.
Easy! Don't use FTP. It transmits the credentials in plain-text and transmits all data in plain-text. It's one of the most insecure ways to transfer files. If your host doesn't support any other ways, find a new host.