.htaccess hack

Linux-security

Sziasztok!

Sajnos a minap bekaptuk egy .htaccess hacket, sajnos egy csomó mappába és almappába bepakolták. Azért írom ezt a témát, hogy aki ilyennel találkozik, az ki tudja pucolni a szerverét.

A hack lényege, hogy a .htaccess tartalmát meghagyja majd kb 1000 üres sor után bepakol egy jópár sor kártékony kódot, így szinte észrevehetetlen, valamint minden mappába és almappába betolja.

Innen letölthető

Tisztítás:


mkdir -p /root/hacked/moved
find / -size +30k -name .htaccess > /root/hacked/a.txt

Ez megtalálja az összes .htaccess fájlt amiben kártékony kód van.

Hozzunk létre egy scriptet

nano /root/hacked/cleaner.sh

A script tartalma ez legyen


#! /usr/bin/env bash
while read line
do
filename=${line//\//_}
mv $line $1/$filename
done < a.txt

Futtassuk

chmod +x /root/hacked/cleaner.sh
/root/hacked/cleaner.sh /root/hacked/moved

Ezután láthatjuk a hackelt fájlokat a /root/hacked/moved könyvtárban, a /-eket _ ra cserélve.

Az, hogy hogyan tolták fel, még nem tudom, valószínüleg valamelyik weboldal hibás kódján keresztül.

Remélem valaki számára hasznos lesz.

Üdv,
Gábor

  • 14075 megtekintés

( cherockee v | 2014. 03. 01., szo – 15:32 )

kösz a megosztást

azt tudjátok, hogy hogy jött be?

/home/ lement, majd reinstall
egyszer fertozott rendszert nem tekintunk hasznalhatonak, foleg ha eles adatokat tartalmaz...

backupbol ujrahuzni az egeszet, majd utana nezni honnan kaptatok az egi aldast, es befoltozni a lyukakat.

udv

Balooo

------------------------

Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)

Ha egy bugos Wordpress miatt felnyomják az egyébként jól levédett és elszeparált tárhelyet, akkor az újrahúzás teljesen felesleges.
Amit a topiknyitó írt, egy tipikus tárhely fertőzés. Heti szinten látnak ilyet tárhely szolgáltatók. Ez most speciel nálam is új, 1 hete találkoztam vele, de semmi másra nem volt hatással. Tipikusan Joompla, Wordpress bugokat használnak ki illetve FTP jelszavakat lopkodó vírusok játszóterei.

( gergelykiss | 2014. 03. 02., v – 09:00 )

Egyfelől köszi, hogy megosztottad ezt, másfelől meg épp az ilyenek kivédésére van az apache-ban az AllowOverride opció.

Nálunk minden éles szerveren kötelező az "AllowOverride None" opció használta, ha egyedi beállítások kellenek, szól a fejlesztő, és beletesszük az apache konfigjába. Duplán jó, mert ezzel kivédhetők az ilyen támadások, illetve neked is jobb, mert egy helyen látod/szabályozhatod egy adott vhost összes beállítását.

Ez remek dolog, de sok webtárhely szerveren sokminden fut suexec-el vagy suphp-val vagy a kedves juzer állít be fullos jogot a docrootjára... Ha az FTP felől mennek végig a .htaccess-eken, akkor nyilván nincs sok opció az belépés FTP mindenféle korlátozásán kívül, de a webszerver felől jövő témákra a hagyományos setup általában jó. (Hagyományos, tehát azt írhatja a webszerver, amit engednek neki. Normális rendszereknél 1-2 mappára elég írási jogot adnia a juzernek.)

Én egy remek Joomla kapcsán találkoztam a fentivel, ahol a kedves fejlesztő úr fullosan mindenre adott írási jogot, aztán Joomla bugon keresztül hipphopp cserélte vmi remek bot a .htaccess-t. Ugyanitt még sikerült beszippantani a Total Commander jelszó kinyerős botot is később és jó esélyell ugyanazon fejlesztő Total Commanderéből...

Ha egyedi install akkor már inkább nginx/lighttpd+php-fpm és eleve fixen beállítható az a néhány rewrite rule vagy más ami kell.

( hokuszpk | 2014. 03. 02., v – 10:36 )

nalunk meg nincs irasjoga az apachenak a .htaccessre.

"És tárhely szolgáltatást üzemeltetsz?"

ugy klasszikusan nem, -- nem mertem belevagni -- de van par szerver a kezem alatt, amin fut apache.
ezek kozul a legnagyobb ( aliasok nelkul szamolva ) 542 virtualhostot hordoz, bevallom fogalmam sincs, ez soknak szamit-e koreitekben vagy sem :D)

Én is csak használom, de sajnos egyet sem ismerek, ahol:

- ssh-val lehet tevékenykedni ftp helyett,
- md5 auth modult használnának, a sima basic helyett,
- file rendszer jogosultságokat ne ba*nák szét az idétlen suid-os megoldásokkal,
- accountonként külön jail-ban futna az apache
- szigorítani lehetne a default php konfigokat.
- és az ára sincs elszálva (privát használatra)

--
zrubi.hu