.htaccess file hack
Der dukker for tiden en hel del gamle hacks op i nye klæder. Dagens .htaccess file hack er i virkeligheden en gammel og helt legitim kode, men når den lægges ind på et hacket website, uden at website ejeren ved det, kan det virkelig skade meget. Læs mere nedenfor …
Tidligere var hacking mest noget bumsede teenagere, og nørdede outsidere beskæftigede sig med, men i den senere tid er det blevet tydeligt at en ny gruppe er begyndt at adoptere og udnytte eksisterende og nye hacks: Marketingfolk! Skrupeløse marketingfolk og regulære spammere. Årsagen er simpel: Det virker og det kan på kort sigt give en helvedes masse penge. Men, det er så også (normalt) ulovligt. Særlig ulovligt bliver det, når man bryder ind på andres computere for et gennemføre sine hacks. Den slags kommer kan i fængsel for i de fleste lande. Og netop indbrud på andres maskiner er grundlaget for det .htaccess file hack som dette indlæg handler om.
.htaccess er en file der ligger i roden af de fleste Apache webservere. Og dem er der mange af. .htaccess filen kan bruges til at styre rettigheder og redirecte trafik rundt på sitet til de rigtige destinationer. So far so good. Men, hvis en hacker bryder ind på dit website og ændre i denne file kan det få alvorlige konsekvenser for den der angribes. Og hvis .htaccess filen er det eneste hackeren ændrer ved sit angreb vil det være de færreste der opdager at det faktisk er sket.
Spamhuntress skriver i sin blog om et website der var belevet hacket, og hvor hun så lige for god ordens skyld tjekkede .htaccess filen. Og det var godt! For det viste sig, at filen var blevet ændret, således at alle søgemaskine-spidere (og kun dem) som besøgte websitet ville bliver 301 redirected til et af hackerens egne websites. Du kan se koden på Spamhuntress blog her.
Og hvad gør det så? Jo, det betyder at søgemaskinerne tror at dette website er flyttet til hackerens adresse. Ikke alene betyder det, at det originale website vil blive slettet i Google, men alle de links som tidligere pegede på det originale website, og den linkværdi (eller PageRank) som det udløste bliver nu flytytet til hackerens website.
Et sådant hack er ikke særlig svært at konstatere. Men hvem tjekker lige dagligt sin .htaccess file? Ja, jeg plejer i hvert fald ikke at gøre det. Så, ville du opdage at din .htaccess file var blevet ændret af en hacker, hvis det var det eneste denne hacker havde gjort? Næppe. I hvert fald ikke før trafiken fra søgemaskinerne pludselig dør helt.
Der har været flere andre eksempler på denne form for “marketing-hacking” på det sidste, og jeg vil i den kommende tid skrive om flere af dem …
Torsten Bo Hansen skriver
Interessant artikeæ men linket til Spamhuntress Blog (http://spamhuntress.com/2006/09/21/hacked-htaccess/) er dødt, desværre ;-(
Mikkel deMib Svendsen skriver
Ja, det virker somom sitet er helt nede lige nu. Det kommer nok op igen 🙂
Svend Erik Dahnert skriver
Hej mikkel og godt nytår !!!!!!!!!!!!!!!!
Jeg har et lille opråb om hjælp, jeg har lavet en hjemmeside hos en udbyder b-one det er en kombineret eksportside og privatside, hvis du gider gå ind på siden, så er der knapper der hedder menu og hvem er vi her ligger de private ting og jeg har brug for disse sider grundet familie som bor i Israel, grundet pedofiler og andet misbrug af børn vil jeg gerne have koder (password) på disse sider, jeg kunne tænke mig såsom at man sender sin mailadresse og så ud fra denne få et password.
Jeg fik et råd om at hvis min udbyder har apadse (htaccess fil) så kunne man gøre noget, der var 5 sider der var noget indviklet. Nu finder vi heldigvis denne dide hvor du fraråder denne fremgangsmåde, derfor spørger jeg dig, har du en måde hvor det er sikkert og kan jeg finde ud af det, jeg har lavet mine sider i Frontpage og ftp. gute.
hører gerne fra dig
med venlig hilsen
Svend Erik Dahnert
Mikkel deMib Svendsen skriver
Jeg mener iokke jeg har anbefalet at man ikke bruger .htaccess – blot at man skal passe på, at den ikke bliver ændret hvis ens webserver bliver hacket 🙂
Hvordan du bedst muligt laver passwordbeskyttelse på dit site afhænger af mange ting, og det bedste er nok at du får fat i en udvikler, der kan hjælpe dig – eller måske spørge om din webhost kan hjælpe.
Kenneth Dambo skriver
Jeg kom til at tænke på dette indlæg, efter at have læst din bog, hvilket i øvrigt var en solid omgang guf for en webnørd, da du ikke nævner .htaccess som en mulighed for at lave en 301 redirect fra sider der ikke er kodet i serversidesprog, så som .html og .htm. Skyldes det at .htaccess ikke fungerer optimalt i forhold til søgemaskinerne, eller er det bare en lille smutter?
@Svend ErikDahnert: Jeg er meget i tvivl om, hvorvidt du med frontpage kan skabe en decideret passwordbeskyttet side. Dine bedste odds vil nok være at hente noget opensource, der enten har denne funktion indbygget, eller som har et modul der kan tilknyttes. Alternativt kan du hyre en webdesigner som jeg på http://www.kennethdambo.dk eller http://www.econstruction.dk.
Mikkel deMib Svendsen skriver
Kenneth, det beskrives under URL-omskrivning og mod_rewrite startende på side 806 🙂
Kenneth Dambo skriver
Det nærmeste jeg kommer en 301 i det kapitel er:
RewriteRule ^olddir/(.*)$ /newdir/$1 [R=301,L]
Det eksempel må jeg indrømme, at jeg gik lidt let henover i de sene læsetimer, men du har helt ret i at det omhandler .htaccess, jeg faldt imidlertid over denne, som jeg finder lidt mere fleksibel, hvis man ikke har sat sig ind i regular expressions endnu:
redirect 301 /old/file.htm http://www.yournomain.dk/new/file.htm
Men alt i alt svarer det nu på mit spørgsmål om 301 redirect i .htaccess filen, som må antages at være gyldigt i søgemaskinerne idet du har medtaget det. (I øvrigt fik jeg kludret et punktum ind i det sidste link i det forige indlæg, der nu giver en 404)
Mikkel deMib Svendsen skriver
Den første er den du skal bruge! For den redirecter nemlig 1-1 fra fil til fil, som jeg anbefaler 🙂