Хакер добавил код в файл .htaccess для перенаправления всего трафика поисковой системы на вредоносный сайт. Сейчас я расследую этот инцидент и пытаюсь найти лазейки в системе безопасности. Моя ситуация почти аналогична ситуации этого человека - .htaccess неоднократно взламывали
Вот образец попытки вторжения из журналов FTP -
Aug 6 02:43:31 sg2nlftpg002 [30887]: (?@91.220.0.19) [INFO] FTPUSER is now logged in
Aug 6 09:43:33 sg2nlftpg002 [30887]: (FTPUSER@91.220.0.19) [NOTICE] /home/content/81/7838581/html//.htaccess downloaded (846 bytes, 106.37KB/sec)
Aug 6 09:43:35 sg2nlftpg002 [30887]: (FTPUSER@91.220.0.19) [NOTICE] /home/content/81/7838581/html//.htaccess uploaded (1435 bytes, 3.32KB/sec)
Aug 6 09:43:35 sg2nlftpg002 [30887]: (FTPUSER@91.220.0.19) [INFO] Logout.
Это значительно отличается от моих обычных попыток входа в систему -
Aug 7 10:57:53 sg2nlftpg002 [11713]: session opened for local user FTPUSER from [my.ip.address]
Aug 7 10:58:28 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 1435 written 0
Aug 7 11:14:29 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 0 written 846
Aug 7 11:14:55 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 846 written 0
Aug 7 12:08:03 sg2nlftpg002 [11713]: session closed for local user FTPUSER from [my.ip.address]
Я просмотрел журналы HTTP-трафика, но не нашел там ничего подозрительного.
Другая информация, которая может быть полезна:
У меня вопрос, как предотвратить подобные атаки в будущем?
ОБНОВИТЬ
Если они вошли в систему через FTP, то пароль вашей учетной записи скомпрометирован, и они просто будут загружать измененный файл по FTP. Проведите аудит везде, где используется пароль вашей учетной записи для сбора паролей вредоносных программ, а затем измените пароль на более безопасный. Также рассмотрите возможность использования метода аутентификации без пароля (например, открытых ключей SSH), но если ваша машина разработки забита вредоносными программами, она может просто украсть ключ.
Как уже упоминалось, есть вероятность, что ваши данные FTP были скомпрометированы (обычно с зараженного настольного ПК с Windows где-то, что я нашел).
Я тестировал это в прошлом, намеренно входя в систему с неправильным паролем с подозреваемого ПК, только чтобы увидеть, как кто-то другой пытается войти с тем же неправильным паролем через 15 минут с внешнего IP-адреса. Очевидно, зараженный компьютер обнюхивал пароль и передавал его обратно на базовый корабль.
Наиболее практичным является ограничение доступа людей к FTP через ваш брандмауэр. Сложность пароля или шифрование, вероятно, не принесут вам пользы в этом случае, поскольку пароль украден у источника, а не угадывается или не перехватывается в дальнейшем.
В iptables будет работать примерно так:
iptables -I INPUT -p tcp --dport 21 -s! X.X.X.X -j DROP
(где X.X.X.X - IP вашего офиса / дома, где ты подключиться из).
У меня была серьезная проблема с тем, что кто-то взломал мой файл .htaccess, и единственным решением было сделать этот файл недоступным для взлома. Сначала я очистил файл .htaccess и все файлы PHP от всех хаков. Затем я изменил права доступа к файлу на 444 (644 все еще разрешает доступ) для файла .htaccess. Затем я использовал доступ оболочки к моей учетной записи, чтобы сделать файл «неизменяемым», что означает, что его нельзя изменить!
Когда у вас есть доступ к вашей учетной записи на сервере Linux, введите следующее: # chattr + i .htaccess
Теперь даже те, у кого есть root-доступ, не могут изменить файл!
Если вам нужно отменить это, введите: # chattr -i .htaccess
Если у вас нет доступа к оболочке для вашей учетной записи, попросите свой веб-хостинг ввести его, чтобы вы сделали файл неизменяемым.
Вы для доступа по FTP с помощью Total Commander? У моего друга был вирус, который собрал все пароли от TC.