Sucuri que da falso positivo con su escáner en línea gratuito debido a una regla de reescritura .htaccess

Navega tus respuestas
2

No estoy seguro de dónde formular esta pregunta. Aquí, SO, Webmasters.SE, ¿en algún otro lugar? Por favor migre si es apropiado.

tl;dr:

La siguiente regla en mi .htaccess está causando que el escáner en línea gratuito de Sucuri notifique que mi sitio está infectado con:

"Known javascript malware" - Location: http://my-subdomain.cu.cc/404testpage4525d2fdc/ ("mi-subdominio" no es mi subdominio real).

Aquí está la regla:

RewriteRule ^([^\.]+[^/])$ http://%{HTTP_HOST}/$1/ [L]

Question

¿Hay algo intrínsecamente mal en mi RewriteRule, de alguna manera estoy "haciendo mal"? O, ¿esto es mucho más que un problema?

Background

Estoy usando esa RewriteRule para agregar una barra inclinada a cualquier URL que no tenga una barra diagonal, excepto que la URL apunta a un archivo, por ejemplo, index.php, myfile.html, etc.

Es muy consistente y reproducible ... si comento esa regla y vuelvo a escanear, está limpio; volver a habilitar, marcado de nuevo ... ad nauseum. Puedo pensar en tres posibilidades (aunque estoy seguro de que hay más):

  • una falla en su proceso de escaneo;
  • algo inherentemente mal con esa RewriteRule;
  • Sucuri está tratando de alentar el negocio de los desprevenidos; (edición del autor)

En mi .htaccess también tengo: 

RewriteCond %{HTTP_HOST} ^(www.)?mydomain.com$ [NC]
RewriteRule ^(.*)$ /mydomain/$1 [L]

Eso reescribe cualquier solicitud a mydomain.com a un subdirectorio de mi raíz pública (a la que llamaré root, por el bien de la brevedad). Esto es necesario porque tengo una cuenta de alojamiento compartido que permite complementos de dominio ilimitados, pero todos deben apuntar a la raíz. Esas dos líneas se replican otras 7 veces, todas reescribiendo dominios diferentes en subdirectorios diferentes.

Finalmente, tengo: 

#block access to .inc files sitewide
<Files ~ "\.inc$">
  Order allow,deny
  Deny from all
</Files>

Ese debe ser autoexplicativo. Antes de mi análisis, solo tenía un archivo en la raíz: .htaccess. Todo lo demás está en los subdirectorios: cada subdirectorio está dedicado a un dominio diferente, de ahí mi RewriteRules.

Después de leer algunos subprocesos sobre problemas de malware de WordPress, decidí ejecutar su escáner y revisar mi sitio. Así que creé un index.php ficticio en la raíz, que se muestra aquí en su totalidad: 

<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
<title>Untitled Document</title>
</head>
<body>
Root!
</body>
</html>

Usé uno de mis subdominios CU.CC gratuitos no utilizados para usar con su escáner. Ese subdominio no está en mi .htaccess , por lo que automáticamente apunta a la raíz.

Editar

Esta es la página de error para http://my-subdomain.cu.cc/404testpage4525d2fdc/

  

No encontrado

     

La URL / 404testpage4525d2fdc solicitada no se encontró en este servidor.

     

Además, se encontró un error 404 No encontrado al intentar usar un ErrorDocument para manejar la solicitud.

     

Servidor Apache en anchorage.cu.cc Puerto 80

    
pregunta akTed 23.01.2013 - 14:53
fuente

4 respuestas

2

Interesante, solo lee el fondo. Te aseguro que no tienes nada que ver con el negocio de la batería. No tenemos necesidad de hacer eso. Si nos envía su información a [email protected], veremos si no podemos entender mejor lo que está sucediendo.

La página de prueba 404 es una página de prueba que emulamos para ver el resultado de una página cuando no podemos identificar el problema pero podemos ver la carga útil.

Estoy más interesado en lo que está debajo de la página de prueba. ¿Tienes más información que puedas compartir? Me pregunto, ¿la página 404test, debajo de ella, dice 500 error o sitio web deshabilitado? ¿O algo equivalente?

Puede ser que el escáner esté siendo bloqueado.

Gracias

    
respondido por el Tony Perez 24.01.2013 - 04:04
fuente
0

¿Qué obtienes cuando accedes a la URL "infectada"? ¿Es una página vacía o una página de error o algo así? ¿Se sirve con una respuesta "200 OK"?

Si es así, me imagino que el escáner está esperando un código de estado de error "404 No encontrado" en la respuesta y se queja de cualquier otro estado. Podría escribir eso como un falso positivo, o considerar devolver 404 para cualquiera que sea el recurso. Si no está devolviendo contenido real para la URL "/ 404testpage4525d2fdc /" entonces, sí, debería probablemente ser 404.

No veo ninguna interacción con su RewriteRule. El escáner se queja sobre la ruta que ya tiene la "/" al final, por lo que no se volverá a escribir.

  

¿Hay algún error inherente con mi RewriteRule

Para tomar grupos de coincidencia de rutas, puede usar el indicador [B] , de modo que cualquier carácter especial incluido como %xx secuencias decodificadas para que coincida con la regla volverá a codificarse nuevamente en lugar de alterado.

Y no estoy seguro de por qué necesita la reescritura: el problema de redireccionamiento de barra diagonal por lo general se maneja automáticamente mediante mod_dir .

Pero no creo que tenga nada que ver con este problema.

    
respondido por el bobince 23.01.2013 - 17:42
fuente
0

Estamos informando de ese sitio porque algo está redirigiendo su tráfico al dominio cuando se visita. No tiene nada que ver con la regla de archivo htaccess a la que hace referencia. Algo está secuestrando tu tráfico.

Saludos

Tony w / Sucuri

    
respondido por el Tony Perez 24.01.2013 - 03:57
fuente
0

Definitivamente, este es un truco barato de Sucuri para crear una falsa amenaza de inseguridad y un negocio de sumisión. Este es exactamente el caso y error con la misma advertencia de seguridad http://mydomain.com/404testpage4525d2fdc para una página que no existe en mi sitio web. Además, lo que hace que las cosas sean más sospechosas es el hecho de que, a diferencia de CUALQUIER otro servicio similar, no tienen un formulario / página de informe de "Falsa Alarma".

    
respondido por el Stacked 03.12.2013 - 11:57
fuente

Lea otras preguntas en las etiquetas

¿Cómo filtrar el tráfico https en WAF de seguridad mod? Al conectarse a Internet a través de VPN, ¿qué precauciones deben tomarse?