看起来这是一个明确的XSS后门的一部分?也许.htaccess在一个恶意软件目录中,deny from 212.92.53.18正在拒绝受感染的服务器访问自己?
**另一个编辑:**好吧,根据我的思考能力以及个人对网络恶意软件的经验,看看deny from 212.92.53.18的特殊性,我想我知道它是什么。这是恶意软件感染的一部分。但我敢打赌212.92.53.18是一个引擎盖上的节点,因为你可以在浏览器中访问它,它似乎是一个活动的服务器。大多数客户端IP地址不会这样做;谁有一个暴露在基本ISP连接上的Web服务器,对吗?除非机器被感染了。所以403.shtml实际上不是一个真实的的403: Forbidden页面,而是恶意软件的一部分。也就是说,从212.92.53.18建立的连接将触发403.shtml-这是一个服务器端包含的HTML文件-这可能被用于未经授权的访问。我的意思是,在2014年,人们最后一次看到合法服务器上的活动.shtml文件是什么时候?现在都是PHP、Python、Java或Ruby。
可能是恐怖黑客和恶意软件。乌克兰/俄罗斯/印度尼西亚黑客。2016年7月,他们攻击了很多网站与Prestashop的图像文件上传漏洞。他们上传403.shtml到根,然后他们破坏了服务器和文件。我已经检查了我的网站是在他们的网页,通知被黑客攻击的网站。他们用DDOS攻击来阻止你访问网页,以获得mysql和ftp的通行证。在prestashop中,你必须上传紧急文件到1.6.1.16或上传一些保护文件。不幸的是,我已经这样做了,但他们没有停止,并再次尝试阻止我的网店。 唯一的另一个选择是在cpanel上放置block ip,但诀窍是Giacomo1968 says in their answer。恭喜。
6条答案
按热度按时间ippsafx71#
它 * 肯定 * 不是恶意软件。
至少不是出于恶意...
如果您正在使用**cpanel,并且您已经使用其IP Deny Manager**来阻止对212.92.53.18的访问,则此信息将自动写入您的.htaccess文件,其目的是阻止该IP(以及您可能希望输入的任何其他IP):
您是否使用**cpanel**?如果使用,您是否记得这样做?
lsmepo6l2#
允许403到全部只是防止循环。如果您使用'deny from'方法阻止一个IP,那么对该IP的403服务也会被阻止,从而创建循环。允许特定的403文件到全部,将覆盖对该特定IP的403服务的阻止,否则会发生这种情况。这防止了循环。
wooyq4lh3#
我自己在一个旧域上用过它,它只是简单地说“允许任何人访问名为403. shtml的文件”;这是禁止访问错误。当然,如果您创建了一个自定义的403.shtml页面,通常会使用此错误。
在这种情况下,被拒绝的IP将看不到自定义的403.shtml,而是会得到一个死白屏。
因此,这与恶意软件无关。
8gsdolmq4#
更新*:这个答案是根据最初发布时提供的事实推测出来的。总体共识似乎是
.htaccess文件的修改很可能是使用服务器管理软件(如CPanel)的结果,因此它本身并不表示感染了恶意软件。*.htaccess的内容有点奇怪。<Files 403.shtml>部分指的是403.shtml文件,它似乎允许发送一个自定义的403: Forbidden响应(基于文件命名的假设).shtml文件。order allow, deny和相关的allow from all向我解释了这一点。看起来网站以某种方式阻止了所有流量,但希望403.shtml通过?但是
deny from 212.92.53.18是相当具体的&结果很奇怪。这基本上阻止了来自212.92.53.18的任何/所有访问。现在输入它,看起来
.htaccess被设置为显式拒绝来自地址212.92.53.18的访问,这将发送一个403响应代码,而<Files 403.shtml>允许发送实际的403: Forbiddenhtaccess页面?但是,阻止来自一个IP地址的流量的指令出现在这样的
.htaccess文件中似乎很奇怪。**编辑:**是否在Google上搜索了
<Files 403.shtml>--因为如果您了解Apache配置,这是一个非常奇怪的指令--而且这似乎是某些恶意软件的一部分?请查看this page以及this page和this other page。看起来这是一个明确的XSS后门的一部分?也许
.htaccess在一个恶意软件目录中,deny from 212.92.53.18正在拒绝受感染的服务器访问自己?**另一个编辑:**好吧,根据我的思考能力以及个人对网络恶意软件的经验,看看
deny from 212.92.53.18的特殊性,我想我知道它是什么。这是恶意软件感染的一部分。但我敢打赌212.92.53.18是一个引擎盖上的节点,因为你可以在浏览器中访问它,它似乎是一个活动的服务器。大多数客户端IP地址不会这样做;谁有一个暴露在基本ISP连接上的Web服务器,对吗?除非机器被感染了。所以403.shtml实际上不是一个真实的的403: Forbidden页面,而是恶意软件的一部分。也就是说,从212.92.53.18建立的连接将触发403.shtml-这是一个服务器端包含的HTML文件-这可能被用于未经授权的访问。我的意思是,在2014年,人们最后一次看到合法服务器上的活动.shtml文件是什么时候?现在都是PHP、Python、Java或Ruby。r8uurelv5#
这个吗?
黑客?后门?恶意软件?乌克兰DOS攻击?
当然不是,根本不是那样的。
当使用“IP阻止程序”时,它由cPanel自动生成。cPanel将其写入您的.htaccess文件
“deny from”只是使用cPanel IP Blocker工具时指定的IP。cPanel足够聪明,知道需要比简单的“deny”IP4条目多一点。
osh3o9ms6#
可能是恐怖黑客和恶意软件。乌克兰/俄罗斯/印度尼西亚黑客。2016年7月,他们攻击了很多网站与Prestashop的图像文件上传漏洞。他们上传403.shtml到根,然后他们破坏了服务器和文件。我已经检查了我的网站是在他们的网页,通知被黑客攻击的网站。他们用DDOS攻击来阻止你访问网页,以获得mysql和ftp的通行证。在prestashop中,你必须上传紧急文件到1.6.1.16或上传一些保护文件。不幸的是,我已经这样做了,但他们没有停止,并再次尝试阻止我的网店。
唯一的另一个选择是在cpanel上放置block ip,但诀窍是Giacomo1968 says in their answer。恭喜。