logo标签列表

这个文件.htaccess是什么?

.htaccessmalwaremalware-detection
3

我真的很想知道为什么在.htaccess文件中有下面这些代码,能告诉我这是什么意思吗?

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18
@HawkenRives 或许是这样,但请看一下我的回答和原始问题。这个.htaccess有意义吗?原帖的作者是在清理从别人那里继承来的一些工作吗?有点奇怪。 - Giacomo1968
1
@JakeGould 是的,你整理之前我已经评论了。看起来有点奇怪...可能是我在最初的判断上有些匆忙 ;) - Hawken MacKay Rives
@HawkenRives е—Ҝ...жҲ‘жғізҹҘйҒ“иҝҷжҳҜеҗҰдёҺжҒ¶ж„ҸиҪҜ件ж„ҹжҹ“жңүе…ізҡ„.htaccessж–Ү件пјҹжІЎжңүдәҶи§ЈдёҠдёӢж–ҮеҫҲйҡҫиҜҙгҖӮзңӢзңӢиҝҷйҮҢпјҡhttp://www.websitebabble.com/web-hosting/11972-hacked-websites.html - Giacomo1968
好的,看看这个。我能赢得什么奖励!http://security.stackexchange.com/questions/9708/index-page-has-been-compromised-suspicious-files-are-showing-up - Giacomo1968
有两个错误日志条目来自乌克兰IP,寻找403.shtml,在谷歌搜索时发现了这个讨论。就这些 :) - mch
6个回答
9

这并不是明确的恶意软件。

至少在它被用于恶意目的的意义上不是...

如果您使用的是cpanel,并且使用了其IP拒绝管理器来阻止对212.92.53.18的访问,则此操作将自动写入您的.htaccess文件中,目的是阻止该IP(以及您希望输入的任何其他IP地址)的访问:

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18

您是否使用过 cpanel,如果是的话,您还记得吗?

3

允许所有人访问403页面只是为了避免循环。如果你使用“deny from”方法阻止某个IP地址,则向该IP地址提供403页面也会被阻止,从而创建一个循环。允许所有人访问特定的403文件将覆盖该IP地址的阻止 - 否则将发生的 - 从而避免循环。

2
<Files 403.shtml>
order allow, deny
allow from all
</Files>

我曾经在一个旧域名上使用过它。它简单地说:“允许任何人访问名为403.shtml的文件”,这是禁止访问错误。当然,通常情况下,您会在创建自定义403.shtml页面时使用它。
在这种情况下,被拒绝的IP将无法看到自定义的403.shtml页面,而是会得到一个白屏。
因此,这与恶意软件毫无关系。
1

更新: 这个答案是基于最初发布时提供的事实进行的猜测。总体共识似乎是这个.htaccess文件的修改很可能是使用服务器管理软件(如CPanel)的结果,因此它本身不是恶意软件感染的指示。

那个.htaccess的内容有点奇怪。

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18

"<Files 403.shtml>" 部分指的是 403.shtml 文件,似乎允许自定义的 403: Forbidden 响应(基于文件命名的假设).shtml 文件被发送。"allow, deny" 和相关的 "allow from all" 解释了它对我来说。看起来网站以某种方式阻止了所有流量,但希望那个 403.shtml 可以通过?
但是 "deny from 212.92.53.18" 相当具体和奇怪。这基本上阻止了来自 212.92.53.18 的任何/所有访问。
现在打出来似乎是 ".htaccess" 设置为明确拒绝来自地址 212.92.53.18 的访问,这将发送一个 403 响应代码,而 "<Files 403.shtml>" 允许实际的 403: Forbidden htaccess 页面被发送?
但是,似乎很奇怪一个指令会在像那样的一个.htaccess文件中阻止单个IP地址的流量。
编辑:因为如果您了解Apache配置,这是一种非常奇怪的指令,所以对<Files 403.shtml>进行了谷歌搜索,并且似乎这可能是某些恶意软件的一部分?请查看this page以及this pagethis other page
看起来这是明确的XSS后门的一部分?也许.htaccess在恶意软件目录中,而deny from 212.92.53.18正在拒绝感染的服务器访问自身? 另一次编辑: 好的,我戴上了思考帽子——以及个人经验与网络恶意软件——并且看着 deny from 212.92.53.18 的具体性,我认为我知道问题所在。这是恶意软件感染的一部分。但我打赌 212.92.53.18 是一个僵尸网络上的节点,因为你可以使用 curl -I 和浏览器访问它,而且它似乎是一个活动服务器。大多数客户端 IP 地址都不会这样做;谁会在基本 ISP 连接上公开 Web 服务器呢?除非机器被感染了。因此,403.shtml 不是真正的 403:禁止 页面,而实际上是恶意软件的一部分。这意味着,从 212.92.53.18 发起的连接将触发 403.shtml ——这是一个服务器端包含 HTML 文件——可以用于未经授权的访问。我的意思是,自 2014 年以来,有谁见过合法服务器上的活动 .shtml 文件呢?现在都是 PHP、Python、Java 或 Ruby。
1
这绝不是攻击的确切迹象,正如其他人在下面所述。事实上,当我使用CPanel中的IP拒绝管理器来阻止IP地址时,它会将此精确代码添加到我的.htaccess文件中。 - FluffyKitten
1
我在我的一些 .htaccess 文件中看到了这个,不知道是什么,这个答案让我有点担心。结果发现它是 cPanel IP 拒绝管理器,就像 @FluffyKitten 说的那样,它也为我添加了这个精确代码。 - mmiddleton
1

这个吗?

<Files 403.shtml>
order allow,deny
allow from all
</Files>

deny from  xx.xx.xx.xx

黑客?后门?恶意软件?乌克兰DOS攻击?

当然不是。它根本不是这些东西。

这是由cPanel自动生成的,当使用“IP阻止器”时生成。cPanel会将其写入您的.htaccess文件中。

'deny from'只是在使用cPanel IP阻止器工具时指定的IP地址。cPanel足够聪明,知道需要比简单的'deny' IP4条目更多的内容。

-2
可能是恐怖的黑客和恶意软件。乌克兰/俄罗斯/印度尼西亚的黑客。在2016年7月,他们利用图像文件上传漏洞攻击了许多Prestashop网站。他们将403.shtml上传到根目录,然后破坏服务器和文件。我已经检查过我的网站出现在他们的网页上,通知被黑客攻击的网站。他们通过DDOS攻击阻止你访问网站几个晚上,以获取mysql和ftp的密码。在prestashop中,你必须紧急上传1.6.1.16或上传一些保护文件。不幸的是,我已经这样做了,但他们不停地尝试再次阻止我的网店。

唯一的另一个选择是在cpanel上放置IP封锁,但诀窍在于Giacomo1968在他们的回答中所说的。恭喜。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接