3

我真的很想知道为什么.htaccess下面有这些代码,能告诉我这段代码是什么吗?

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18
4

6 回答 6

9

它不一定是恶意软件。

至少,从某种意义上说,它不是出于恶意原因......

如果您使用cpanel并且您已使用其IP Deny Manager阻止对 212.92.53.18 的访问,那么这将自动写入您的 .htaccess 文件,以阻止该 IP(以及您可能希望输入的任何其他 IP) ):

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18

你使用cpanel吗?如果是,你还记得这样做吗?

于 2014-12-16T16:44:36.917 回答
3

允许 403 to All 只是防止循环。如果您使用“拒绝来自”方法阻止 IP,则向该 IP 提供 403 服务也会被阻止,从而创建一个循环。允许特定的 403 文件全部使用,将覆盖块 - 将 403 提供给该特定 IP - 否则会发生。这可以防止循环。

于 2015-06-09T22:38:44.917 回答
2 
<Files 403.shtml>
order allow, deny
allow from all
</Files>

我自己在一个旧域上使用它。它只是说“允许任何人访问名为 403.shtml 的文件”;这是禁止访问错误。当然,如果您创建了自定义 403.shtml 页面,通常会使用它。

在这种情况下,被拒绝的 IP 不会看到自定义的 403.shtml,而是会获得白屏死机。

因此,无论以任何形式或形式,这都与恶意软件无关。

于 2015-08-14T00:54:49.517 回答
1

更新:这个答案是基于使用最初发布时提供的事实的推测。总体共识似乎是.htaccess文件的这种修改很可能是使用服务器管理软件(如 CPanel)的结果,因此它本身并不是恶意软件感染的迹象。

里面的内容.htaccess有点奇怪。

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18

<Files 403.shtml>部分指的是403.shtml文件,它似乎允许发送自定义403: Forbidden响应(基于文件命名的假设).shtml文件。order allow, deny和相关的allow from all给我解释一下。似乎该网站以某种方式阻止了所有流量,但希望403.shtml通过这种方式?

但结果deny from 212.92.53.18是非常具体和奇怪的。这基本上阻止了来自212.92.53.18.

现在输入它似乎.htaccess设置为明确拒绝来自地址的访问,212.92.53.18这将发送403响应代码,并且<Files 403.shtml>允许发送实际的403: Forbiddenhtaccess 页面?

但是,阻止来自单个 IP 地址的流量的指令在这样的.htaccess文件中似乎很奇怪。

编辑:谷歌是否搜索过——<Files 403.shtml>因为如果你知道 Apache 配置,这是一个非常奇怪的指令——而且这似乎是某些恶意软件的一部分?看看这个页面以及这个页面这个其他页面

看起来这是一个明确的 XSS 后门的一部分?也许.htaccess它位于恶意软件目录中,并且deny from 212.92.53.18拒绝受感染的服务器访问自身?

另一个编辑:好的,戴上我的思考上限——以及对网络恶意软件的个人经验——并查看deny from 212.92.53.18我认为我知道交易是什么的特殊性。这是恶意软件感染的一部分。但我敢打赌,这212.92.53.18是引擎盖上的一个节点,因为你可以curl -I在浏览器中访问它并访问它,它似乎是一个活动服务器。大多数客户端 IP 地址都不会这样做。谁在基本的 ISP 连接上公开了 Web 服务器,对吗?除非机器被感染。所以这403.shtml实际上不是一个真实的403: Forbidden页面,而是恶意软件的一部分。意思是,从 FROM 建立的连接212.92.53.18将触发403.shtml——这是一个服务器端包含 HTML 文件——可用于未经授权的访问。我的意思是,2014 年有人最后一次看到活跃是什么时候.shtml合法服务器上的文件,对吗?现在都是 PHP、Python、Java 或 Ruby。

于 2014-05-04T05:24:30.237 回答
1

这个?

<Files 403.shtml>
order allow,deny
allow from all
</Files>

deny from  xx.xx.xx.xx

黑客?后门?恶意软件?乌克兰DOS攻击?

当然不是。这不是那种事。

当使用“IP Blocker”时,它由 cPanel 自动生成。cPanel 将其写入您的 .htaccess 文件

“拒绝”只是使用 cPanel IP Blocker 工具时指定的 IP。cPanel 足够聪明,知道需要的不仅仅是简单的“拒绝”IP4 条目。

于 2020-06-15T06:22:34.210 回答
-2

可能是恐怖的黑客攻击和恶意软件。乌克兰/俄罗斯/印度尼西亚黑客。2016 年 7 月,他们使用 Prestashop 攻击了许多网站,其中存在图像文件上传漏洞。他们将 403.shtml 上传到根目录,然后销毁服务器和文件。我检查了我的网站是否在他们的网页上,通知被黑客入侵的网站。他们在某些晚上通过 DDOS 攻击阻止您访问网络以获取 mysql 和 ftp 的通行证。在 prestashop 你必须上传紧急到 1.6.1.16 或者上传一些保护文件。不幸的是,我已经这样做了,但他们并没有停下来并再次尝试阻止我的网上商店。

唯一的另一种选择是您将块 ip 放在 cpanel 上,但诀窍是 JakeGould 所说的。恭喜。

于 2016-09-07T03:36:17.547 回答