服务器 Gind.cn
  1. 服务器 Gind.cn
  3. .htaccess文件被黑了,将来如何防止这个?
Intereting Posts
代理身份validation期间允许中间代理添加Cookie吗? 执行根本原因分析 我们可以阻止networking上的任何特定的网页,而不阻断整个网站? 如何重新安装Windows 7 Embedded? 将应用程序集成到Windows 7 install.wim映像的最佳方法 我如何添加一个新的虚拟主机到我的Apache? 直接访问证书 是否可以通过showrev -p来识别Solaris 10修补程序集群? 后缀 – 邮件系统closures 使用2 ZyXEL GS1920-48HP的VLAN“中继” 没有浏览器连接YES远程连接 通过Symantec Backup Exec 2010 R2恢复单个Exchange 2007邮箱 赢得2008 R2 – 复制到磁盘是非常缓慢的,复制FROM是或多或less的好 “closures期间应用程序池超出时间限制”的原因是什么? Windows 2000 Server自动重新启动脚本

.htaccess文件被黑了,将来如何防止这个?

黑客.htaccess文件中添加了一个代码,将所有search引擎stream量redirect到恶意软件网站。 我现在正在调查这个事件,并试图找出安全漏洞。 我的情况几乎和这个人的.htaccess被屡次黑客相似

以下是来自FTP日志的一个插入尝试示例 – 

Aug 6 02:43:31 sg2nlftpg002 [30887]: ([email protected]) [INFO] FTPUSER is now logged in Aug 6 09:43:33 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess downloaded (846 bytes, 106.37KB/sec) Aug 6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess uploaded (1435 bytes, 3.32KB/sec) Aug 6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [INFO] Logout.

这与我的常规login企图有很大的不同 – 

  Aug 7 10:57:53 sg2nlftpg002 [11713]: session opened for local user FTPUSER from [my.ip.address] Aug 7 10:58:28 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 1435 written 0 Aug 7 11:14:29 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 0 written 846 Aug 7 11:14:55 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 846 written 0 Aug 7 12:08:03 sg2nlftpg002 [11713]: session closed for local user FTPUSER from [my.ip.address]

我已经通过HTTPstream量日志,但在那里找不到任何可疑的东西。

其他可能有用的信息:

  • 我在一个共享主机上,网站上运行的WordPress,BuddyPress和其他stream行的插件。
  • 据我所知,我控制下的所有软件都使用最新版本,并定期更新。
  • 我使用强密码并定期更新。 只能使用PUTTY访问SFTP和SSH网站。
  • 我的本地机器没有病​​毒。

我的问题是今后如何防止这种攻击?

UPDATE

  • 请参阅Google的报告 – http://www.google.com/safebrowsing/diagnostic?site=ask-oracle.com
  • 另一份与networking相关的报告位于http://www.google.com/safebrowsing/diagnostic?site=AS:26496

如果他们通过FTPlogin,那么你的用户帐号密码就会被破坏,他们只是在修改被修改的文件。 审核到处都是使用您的帐户密码来收集恶意软件的密码,然后将密码更改为安全的。 还要考虑使用无密码的身份validation方法(如SSH公钥),但是如果您的开发计算机充满恶意软件,则可能只是窃取密钥。

正如已经提到的机会是,你的FTP的细节已经被破坏(通常从我发现的某个地方被感染的Windows台式电脑)。

我过去曾经通过故意使用来自怀疑PC的密码login进行了testing,结果只有在别人尝试使用来自外部IP地址的15分钟后使用相同的错误密码login时。 被感染的PC显然是在嗅探密码并将其传回给母船。

最实际的做法是限制人们可以从防火墙login到FTP。 在这种情况下,密码的复杂性或encryption可能对你没有好处,因为密码在源头被窃取,而不是被猜测或截获。

在iptables中可以这样工作:

iptables -I INPUT -p tcp –dport 21 -s! XXXX -j DROP

(其中XXXX是连接的办公室/家庭的IP)。

您是否使用Total Commander进行FTP访问? 我的朋友有一个从TC收集所有密码的病毒。

我有一个严重的问题,有人入侵我的.htaccess文件,我唯一的解决办法是使文件unhackable。 首先,我清理了.htaccess文件和所有黑客的任何PHP文件。 然后,我将文件权限更改为444(644仍允许访问).htaccess文件上。 然后,我使用shell访问我的帐户,使文件“不可变”,这意味着它不能改变!

在Linux服务器上有权访问您的帐户时,请input以下内容:#chattr + i .htaccess

现在,即使是具有root权限的用户也无法更改文件!

你需要撤消这个,input:#chattr -i .htaccess

如果您没有shell帐户访问权限,请让您的虚拟主机为您input此文件以使文件不可变。