我的 WordPress 通过受感染的 .htaccess 文件被黑,这是它的内容,这个 htaccess 有什么作用?
My WordPress got hacked through an infected .htaccess file and here's its content, what does this htaccess do?
在扫描客户端服务器的恶意软件后,我发现一个 .htaccess 文件感染了以下恶意软件:
SL-HTACCESS-GENERIC-ln.UNOFFICIAL
这是 .htaccess 文件的内容:
# BEGIN WordPress
<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/jpg "access plus 1 year"
ExpiresByType image/jpeg "access plus 1 year"
ExpiresByType image/gif "access plus 1 year"
ExpiresByType image/png "access plus 1 year"
ExpiresByType text/css "access plus 1 month"
ExpiresByType application/pdf "access plus 1 month"
ExpiresByType text/javascript "access plus 1 month"
ExpiresByType text/html "access plus 5 minutes"
ExpiresByType image/x-icon "access plus 1 year"
ExpiresDefault "access plus 6 hours"
</IfModule>
<ifModule mod_headers.c>
Header set X-Endurance-Cache-Level "2"
</ifModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^(denaturization)([0-9]+)-(.*)--a([0-9]+)\/(.*)$ ?denaturization=&%{QUERY_STRING}[L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
# php -- BEGIN cPanel-generated handler, do not edit
# Set the “ea-php73” package as the default “PHP” programming language.
<IfModule mime_module>
AddHandler application/x-httpd-ea-php73 .php .php7 .phtml
</IfModule>
# php -- END cPanel-generated handler, do not edit
谁能告诉我这个文件的作用以及删除这个文件并用 WordPress 附带的原始 htaccess 替换它是否安全
提前致谢
RewriteRule ^(denaturization)([0-9]+)-(.*)--a([0-9]+)\/(.*)$ ?denaturization=&%{QUERY_STRING}[L]
这是上述 .htaccess 文件中唯一不合适的行。为了使 .htaccess 文件 return 相对正常,您需要删除的唯一一行。但是,如果一个网站已经 "infected" 那么这不太可能是唯一的变化?就其本身而言,这并没有真正做任何事情 - 除了可能向黑客强调该站点易受攻击之外。这更有可能是 与执行此操作的后端脚本对话。
但是,该指令的格式并不严格,因为在 RewriteRule 标志参数之前没有 space(即 ...%{QUERY_STRING}<here>[L]).虽然这可能不会影响 恶意软件 .
的预期功能
这将在内部重写 URL 形式:
/denaturization123-foo--a456/bar?baz=abc
至:
/?denaturization123=456&baz=abc[L]
这将允许通过 WordPress 路由请求 - 显示主页。
但是,如果脱离上下文,这并没有多大意义。
我会检查服务器访问日志,看看是否有任何对 URL 的请求从 /denaturization 开始,并记下具体的 URL。
在扫描客户端服务器的恶意软件后,我发现一个 .htaccess 文件感染了以下恶意软件:
SL-HTACCESS-GENERIC-ln.UNOFFICIAL
这是 .htaccess 文件的内容:
# BEGIN WordPress
<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/jpg "access plus 1 year"
ExpiresByType image/jpeg "access plus 1 year"
ExpiresByType image/gif "access plus 1 year"
ExpiresByType image/png "access plus 1 year"
ExpiresByType text/css "access plus 1 month"
ExpiresByType application/pdf "access plus 1 month"
ExpiresByType text/javascript "access plus 1 month"
ExpiresByType text/html "access plus 5 minutes"
ExpiresByType image/x-icon "access plus 1 year"
ExpiresDefault "access plus 6 hours"
</IfModule>
<ifModule mod_headers.c>
Header set X-Endurance-Cache-Level "2"
</ifModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^(denaturization)([0-9]+)-(.*)--a([0-9]+)\/(.*)$ ?denaturization=&%{QUERY_STRING}[L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
# php -- BEGIN cPanel-generated handler, do not edit
# Set the “ea-php73” package as the default “PHP” programming language.
<IfModule mime_module>
AddHandler application/x-httpd-ea-php73 .php .php7 .phtml
</IfModule>
# php -- END cPanel-generated handler, do not edit
谁能告诉我这个文件的作用以及删除这个文件并用 WordPress 附带的原始 htaccess 替换它是否安全
提前致谢
RewriteRule ^(denaturization)([0-9]+)-(.*)--a([0-9]+)\/(.*)$ ?denaturization=&%{QUERY_STRING}[L]
这是上述 .htaccess 文件中唯一不合适的行。为了使 .htaccess 文件 return 相对正常,您需要删除的唯一一行。但是,如果一个网站已经 "infected" 那么这不太可能是唯一的变化?就其本身而言,这并没有真正做任何事情 - 除了可能向黑客强调该站点易受攻击之外。这更有可能是 与执行此操作的后端脚本对话。
但是,该指令的格式并不严格,因为在 RewriteRule 标志参数之前没有 space(即 ...%{QUERY_STRING}<here>[L]).虽然这可能不会影响 恶意软件 .
这将在内部重写 URL 形式:
/denaturization123-foo--a456/bar?baz=abc
至:
/?denaturization123=456&baz=abc[L]
这将允许通过 WordPress 路由请求 - 显示主页。
但是,如果脱离上下文,这并没有多大意义。
我会检查服务器访问日志,看看是否有任何对 URL 的请求从 /denaturization 开始,并记下具体的 URL。