Sucuri dando falsi positivi con il loro scanner online gratuito a causa di un .htaccess RewriteRule

Naviga le tue risposte
2

Non sono sicuro di dove porre questa domanda - QUI, SO, Webmasters.SE, da qualche altra parte? Effettua la migrazione, se appropriato.

tl; dr:

La seguente regola nel mio .htaccess sta causando lo scanner online gratuito di Sucuri per segnalare il mio sito come infetto da:

"Known javascript malware" - Location: http://my-subdomain.cu.cc/404testpage4525d2fdc/ ("mio-sottodominio" non è il mio vero sottodominio).

Ecco la regola:

RewriteRule ^([^\.]+[^/])$ http://%{HTTP_HOST}/$1/ [L]

Domanda

C'è qualcosa di intrinsecamente sbagliato nella mia RewriteRule, sono in qualche modo "sbagliato"? Oppure, questo è solo molto rumore per nulla?

Sfondo

Sto usando quella RewriteRule per aggiungere una barra a qualsiasi URL che non ha una barra finale, ad eccezione dell'URL che punta a un file, ad es. index.php, myfile.html, ecc.

È molto coerente e riproducibile ... se commento questa regola e rieseguo la scansione, è pulito; riattivare, contrassegnato di nuovo ... fino alla nausea. Posso pensare a tre possibilità (anche se sono sicuro che ce ne sono altre):

  • un difetto nel loro processo di scansione;
  • qualcosa di intrinsecamente sbagliato con quella RewriteRule;
  • Sucuri sta cercando di estorcere business agli ignari; (modifica dell'autore)

Nel mio .htaccess ho anche: 

RewriteCond %{HTTP_HOST} ^(www.)?mydomain.com$ [NC]
RewriteRule ^(.*)$ /mydomain/$1 [L]

Che riscrive qualsiasi richiesta in mydomain.com in una sottodirectory della mia radice pubblica (che chiamerò semplicemente root, per brevità). Questo è necessario perché ho un account di hosting condiviso che consente add-on illimitati di dominio, ma tutti devono puntare a root. Queste due linee vengono replicate altre 7 volte, tutte riscrivendo domini diversi in sottodirectory diverse.

Infine, ho: 

#block access to .inc files sitewide
<Files ~ "\.inc$">
  Order allow,deny
  Deny from all
</Files>

Quello dovrebbe essere auto-esplicativo. Prima della mia scansione, avevo un solo file in root - .htaccess. Tutto il resto si trova nelle sottodirectory: ciascuna sottodirectory è dedicata a un dominio diverso, quindi le mie RewriteRules.

Dopo aver letto alcuni thread su: problemi malware di WordPress, ho deciso di eseguire il loro scanner e controllare il mio sito. Così ho creato un dummy index.php in root, mostrato qui nella sua interezza: 

<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
<title>Untitled Document</title>
</head>
<body>
Root!
</body>
</html>

Ho usato uno dei miei sotto-domini CU.CC non utilizzati da usare con il loro scanner. Quel sottodominio non è nel mio .htaccess , quindi punta automaticamente a root.

Modifica

Questa è la pagina di errore per http://my-subdomain.cu.cc/404testpage4525d2fdc/

Not Found

The requested URL /404testpage4525d2fdc was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Apache Server at anchorage.cu.cc Port 80

    
posta akTed 23.01.2013 - 14:53
fonte

4 risposte

2

Interessante, leggi solo lo sfondo. Ti assicuro che non ha nulla a che fare con il business delle batterie. Non abbiamo bisogno di farlo. Se ci invii le tue informazioni a [email protected] vedremo se non possiamo capire meglio cosa sta succedendo.

La 404testpage è una pagina di prova che emuliamo per vedere l'output di una pagina quando non siamo in grado di individuare il problema ma possiamo vedere il payload.

Sono più interessato a cosa c'è sotto la pagina di test. Hai più informazioni che puoi condividere? Mi chiedo, la pagina 404test, sotto di essa, dice 500 errore o sito web disabilitato? O qualcosa di equivalente?

Potrebbe essere che lo scanner sia bloccato.

Grazie

    
risposta data 24.01.2013 - 04:04
fonte
0

Che cosa ottieni quando accedi all'URL "infetto"? È una pagina vuota o una pagina di errore o qualcosa del genere? Servito con una risposta "200 OK"?

Se è così immagino che lo scanner si aspetti un codice di errore "404 Not Found" nella risposta, e si lamenta di qualsiasi altro stato. Si potrebbe scrivere come falso positivo, o considerare di restituire 404 per qualunque sia la risorsa. Se non stai restituendo contenuti reali per l'URL "/ 404testpage4525d2fdc /" allora, sì, dovrebbe probabilmente essere 404.

Non vedo alcuna interazione con il tuo RewriteRule. Lo scanner si lamenta del percorso che ha già il "/" alla fine, quindi non verrà riscritto.

Is there anything inherently wrong with my RewriteRule

Per portare i gruppi di fiammiferi dai percorsi potresti usare il flag [B] , in modo che tutti i caratteri speciali inclusi come sequenze di %xx decodificati in modo che corrispondano alla regola vengano nuovamente codificati anziché rimossi.

E non sono sicuro del motivo per cui hai bisogno della riscrittura: il problema di reindirizzamento della barra finale viene in genere gestito automaticamente da mod_dir .

Ma non penso che abbia a che fare con questo problema.

    
risposta data 23.01.2013 - 17:42
fonte
0

Stiamo segnalando quel sito perché qualcosa sta reindirizzando il tuo traffico verso il dominio quando è visitato. Non ha nulla a che fare con la regola del file htaccess a cui si fa riferimento. Qualcosa sta violando il tuo traffico.

Saluti

Tony w / Sucuri

    
risposta data 24.01.2013 - 03:57
fonte
0

Questo è sicuramente un trucco a buon mercato da parte di Sucuri per creare finte minacce di insicurezza e attività di drum-up. Questo è esattamente il caso e l'errore con lo stesso avviso di sicurezza http://mydomain.com/404testpage4525d2fdc per una pagina che non esiste sul mio sito web. Inoltre, ciò che rende le cose più sospette è il fatto che, a differenza di OGNI altro servizio, non hanno un modulo di segnalazione / pagina web "False Alarm".

    
risposta data 03.12.2013 - 11:57
fonte

Leggi altre domande sui tag

Il mio provider VPN può vedere le mie attività di navigazione su siti SSL? [duplicare] È possibile che un virus sia incorporato in un'immagine e questa immagine può essere eseguita su Android Oreo semplicemente aprendo l'immagine?