.htaccess中的这个文件是什么?

时间:2014-05-04 05:17:01

标签: .htaccess malware malware-detection

我真的很奇怪为什么在.htaccess中有下面的代码,可以告诉我这段代码是什么?

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18

6 个答案:

答案 0 :(得分:7)

它不是肯定是恶意软件。

至少,不是出于恶意的原因......

如果您使用 cpanel 并且已使用其 IP拒绝管理器来阻止对212.92.53.18的访问,则会自动将其写入您的.htaccess文件的目的是阻止该IP(以及您可能希望输入的任何其他内容):

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18

您使用 cpanel ,如果是,您还记得这样做吗?

答案 1 :(得分:3)

允许403 to All只是防止循环。如果使用'deny from'方法阻止IP,则403的IP服务也会被阻止,从而产生循环。允许特定的403文件为ALL,将覆盖为特定IP提供403的块 - 否则将发生。这可以防止循环。

答案 2 :(得分:2)

<Files 403.shtml>
order allow, deny
allow from all
</Files>

我自己在旧域上使用它。它只是说&#34;允许任何人访问名为403.shtml的文件&#34 ;;这是禁止访问错误。当然,如果您创建了自定义的403.shtml页面,通常会使用它。

在这种情况下被拒绝的IP将无法看到自定义403.shtml,而是会获得白屏死机。

因此,这不是形式或形式的恶意软件相关。

答案 3 :(得分:1)

更新 :此答案基于使用最初发布时提供的事实进行推测。总体共识似乎是对.htaccess文件的这种修改很可能是使用CPanel等服务器管理软件的结果,因此它本身并不是恶意软件感染的指示。

.htaccess的内容有点奇怪。

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18

<Files 403.shtml>部分引用403.shtml文件,似乎允许发送自定义403: Forbidden响应(基于文件命名的假设).shtml文件。 order allow, deny及相关allow from all向我解释。看起来该网站在某种程度上阻止了所有流量,但希望403.shtml能够通过?

但是deny from 212.92.53.18是非常具体的&amp;奇怪的结果。这基本上阻止了212.92.53.18的任何/所有访问。

现在输入内容似乎.htaccess设置为明确拒绝来自地址212.92.53.18的访问权限,该地址会发送403响应代码,<Files 403.shtml>允许要发送的实际403: Forbidden htaccess页面?

但是,阻止来自单个IP地址的流量的指令似乎很奇怪,就像.htaccess这样的文件。

编辑: Google是否搜索了<Files 403.shtml> - 因为如果您了解Apache配置,这是一个非常奇怪的指令 - 似乎这可能是某些恶意软件的一部分?请查看this page以及this pagethis other page

这似乎是一个明确的XSS后门的一部分?也许.htaccess位于恶意软件目录中,deny from 212.92.53.18拒绝受感染的服务器访问自己?

另一个编辑:好的,戴上我的思维上限 - 以及个人网络恶意软件的经验 - 并查看deny from 212.92.53.18的特殊性我想我知道这笔交易是什么。这是恶意软件感染的一部分。但我敢打赌,212.92.53.18是发动机罩上的一个节点,因为你可以curl -I它&amp;在浏览器中访问它&amp;它似乎是一个活跃的服务器。大多数客户端IP地址都不会这样做;谁在基本的ISP连接上暴露了Web服务器,对吧?除非机器被感染。因此403.shtml实际上并不是真正的403: Forbidden页面,而是实际上是恶意软件的一部分。这意味着,从212.92.53.18建立的连接将触发403.shtml - 这是服务器端包含HTML文件 - 可用于未经授权的访问。我的意思是,当2014年有人在合法服务器上看到活跃的.shtml文件时,对吧?现在它都是PHP,Python,Java或Ruby。

答案 4 :(得分:0)

这吗?

<Files 403.shtml>
order allow,deny
allow from all
</Files>

deny from  xx.xx.xx.xx

黑客?后门?恶意软件?乌克兰DOS攻击?

当然不是。没什么。

使用“ IP阻止程序”时,它将由cPanel自动生成。 cPanel会将其写入您的.htaccess文件

“拒绝来源”只是使用cPanel IP Blocker工具时指定的IP。 cPanel足够聪明,可以知道需要做的不仅仅是简单的“拒绝” IP4条目。

答案 5 :(得分:-2)

可能是它的恐怖黑客和恶意软件。乌克兰/俄罗斯/印度尼西亚黑客。 2016年7月,他们使用Prestashop攻击了许多网站,并且上传了图片文件漏洞。他们将403.shtml上传到root,然后销毁服务器和文件。我已经检查过我的网站是在他们的网页上通知黑客入侵的网站。他们阻止一些夜晚使用DDOS攻击访问网络以获取mysql和ftp的通行证。在prestashop中,您必须将紧急上传到1.6.1.16或上传一些保护文件。不幸的是,我已经这样做了,但他们不会停下来再次尝试阻止我的网店。

唯一的另一个选择是你将阻止ip放在cpanel上,但诀窍是JakeGould所说的。祝贺。