黑客在 .htaccess 文件中添加了代码,将所有搜索引擎流量重定向到恶意软件网站。我现在正在调查此事件并试图找出安全漏洞。我的情况与这个人的情况几乎相似 -.htaccess 屡屡遭黑客攻击
以下是 FTP 日志中入侵尝试的示例 -
Aug 6 02:43:31 sg2nlftpg002 [30887]: ([email protected]) [INFO] FTPUSER is now logged in
Aug 6 09:43:33 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess downloaded (846 bytes, 106.37KB/sec)
Aug 6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess uploaded (1435 bytes, 3.32KB/sec)
Aug 6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [INFO] Logout.
这与我常规的登录尝试有很大不同 -
Aug 7 10:57:53 sg2nlftpg002 [11713]: session opened for local user FTPUSER from [my.ip.address]
Aug 7 10:58:28 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 1435 written 0
Aug 7 11:14:29 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 0 written 846
Aug 7 11:14:55 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 846 written 0
Aug 7 12:08:03 sg2nlftpg002 [11713]: session closed for local user FTPUSER from [my.ip.address]
我已经查看了 HTTP 流量日志,但没有发现任何可疑的内容。
其他可能有用的信息:
- 我在共享主机上,网站运行在 WordPress、BuddyPress 和其他流行插件上。
- 据我所知,我控制的所有软件都使用最新版本并定期更新。
- 我使用强密码并定期更新。仅使用 PUTTY 通过 SFTP 和 SSH 访问网站。
- 我的本地机器没有病毒。
我的问题是如何防止将来再次发生此类攻击?
更新
- 请参阅 Google 的报告 -http://www.google.com/safebrowsing/diagnostic?site=ask-oracle.com
- 另一份与我托管的网络相关的报告 -http://www.google.com/safebrowsing/diagnostic?site=AS:26496
答案1
如果他们通过 FTP 登录,那么您的用户帐户密码就会被泄露,他们只是通过 FTP 上传修改后的文件。审核所有使用您的帐户密码进行密码收集恶意软件的地方,然后将密码更改为安全的密码。还可以考虑使用无密码的身份验证方法(例如 SSH 公钥),但如果您的开发机器充满了恶意软件,它可能会窃取密钥。
答案2
正如前面提到的,您的 FTP 详细信息很可能已被泄露(通常是从我发现的某处受感染的 Windows 台式电脑泄露)。
我过去曾测试过这一点,故意用错误的密码从一台可疑的 PC 上登录,结果发现 15 分钟后,其他人又从外部 IP 地址尝试用相同的错误密码登录。显然,受感染的 PC 正在嗅探密码并将其传回母机。
最实际的做法是限制人们从防火墙登录 FTP 的位置。在这种情况下,密码复杂性或加密可能对您没有好处,因为密码是在源头被盗,而不是在之后被猜测或拦截。
在 iptables 中类似下面的操作可以工作:
iptables -I 输入 -p tcp --dport 21 -s !XXXX -j DROP
(其中 XXXX 是您的办公室/家庭的 IP,你連接自)。
答案3
您是否使用 Total Commander 进行 FTP 访问?我的朋友感染了一种病毒,该病毒收集了 TC 的所有密码。
答案4
我遇到了一个严重的问题,有人入侵了我的 .htaccess 文件,我唯一的解决方案就是让文件无法被入侵。首先,我清理了 .htaccess 文件和所有被入侵的 PHP 文件。然后,我将 .htaccess 文件的文件权限更改为 444(644 仍然允许访问)。然后,我使用 shell 访问我的帐户,使文件“不可变”,这意味着它无法更改!
当您在 Linux 服务器上拥有对帐户的 shell 访问权限时,请输入以下内容:# chattr +i .htaccess
现在,即使具有 root 权限的人也无法更改该文件!
如果您需要撤消此操作,请输入:# chattr -i .htaccess
如果您无权访问您的帐户的 shell,请询问您的网站主机是否可以为您输入此信息,以使文件不可变。