.htaccess 中的这个文件是什么？答案

【问题标题】：What is this file in .htaccess?.htaccess 中的这个文件是什么？
【发布时间】：2014-06-20 14:22:37
【问题描述】：

我真的很想知道为什么.htaccess 有下面的代码，能告诉我这段代码是什么吗？

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18

【问题讨论】：

@HawkenRives 也许，但看看我的回答和原始问题。这.htaccess 有意义吗？原始海报是否清理了一些从其他人那里继承的作品？有点奇怪。
@JakeGould 是的，我在你清理之前发表了评论。看起来确实有点奇怪......我最初的判断可能有点草率;）
@HawkenRives 嗯……我想知道这是不是与恶意软件感染有关的.htaccess 文件？不知道上下文很难说。看这里：websitebabble.com/web-hosting/11972-hacked-websites.html
好吧，看看这个。我中了什么奖！ security.stackexchange.com/questions/9708/…
有 2 个来自乌克兰 IP 的错误日志条目，用于查找 403.shtml，在谷歌搜索时发现了这个讨论。这就是全部:)

标签： .htaccess malware malware-detection

【解决方案1】：

更新：此答案基于使用最初发布时提供的事实的推测。总体共识似乎是，.htaccess 文件的这种修改很可能是使用 CPanel 等服务器管理软件的结果，因此它本身并不是恶意软件感染的迹象。

.htaccess 的内容有点奇怪。

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18

<Files 403.shtml> 部分指的是403.shtml 文件，它似乎允许发送自定义403: Forbidden 响应（基于文件命名的假设）.shtml 文件。 order allow, deny 和相关的allow from all 向我解释。该网站似乎以某种方式阻止了所有流量，但希望 403.shtml 能够通过？

但是deny from 212.92.53.18 是非常具体和奇怪的结果。这基本上阻止了来自212.92.53.18 的任何/所有访问。

现在输入似乎.htaccess 设置为明确拒绝来自地址212.92.53.18 的访问，这将发送403 响应代码，而<Files 403.shtml> 允许实际的403: Forbidden htaccess 页面发送了吗？

但是，阻止来自单个 IP 地址的流量的指令出现在这样的 .htaccess 文件中似乎很奇怪。

编辑： 是否在 Google 上搜索过 <Files 403.shtml>——因为如果你知道 Apache 配置，这是一个非常奇怪的指令——而且这似乎是某些恶意软件的一部分？查看this page 以及this page 和this other page。

看起来这是一个明确的 XSS 后门的一部分？也许.htaccess 位于恶意软件目录中，而deny from 212.92.53.18 正在拒绝受感染的服务器访问自身？

另一个编辑： 好的，戴上我的思考上限——以及对网络恶意软件的个人经验——并查看deny from 212.92.53.18 的特殊性，我想我知道交易是什么。这是恶意软件感染的一部分。但我敢打赌212.92.53.18 是引擎盖上的一个节点，因为您可以curl -I 它并在浏览器中访问它并且它似乎是一个活动服务器。大多数客户端 IP 地址都不会这样做；谁在基本的 ISP 连接上公开了 Web 服务器，对吗？除非机器被感染。所以403.shtml 实际上并不是真正的403: Forbidden 页面，而是恶意软件的一部分。这意味着，从212.92.53.18 建立的连接将触发403.shtml——这是一个服务器端包含 HTML 文件——可用于未经授权的访问。我的意思是，2014 年有人最后一次在合法服务器上看到活跃的.shtml 文件是什么时候，对吧？现在都是 PHP、Python、Java 或 Ruby。

【讨论】：

这绝不是攻击的确定迹象，正如其他人在下面所说的那样。事实上，CPanel 中的 IP 拒绝管理器在我使用它来阻止 IP 地址时将这个确切的代码添加到我的 .htaccess 中。
我的一些 .htaccess 文件中有这个，我想知道它是什么，这个答案肯定让我有点担心。原来是 cPanel IP 拒绝管理器，就像@FluffyKitten 说的那样，它也为我添加了这个确切的代码。
@JakeGould - 当您拒绝我的编辑时，我可以建议您自己更改答案以反映这不是您断言的绝对恶意软件。 下面的其他答案证明这实际上可以是 .htaccess 中的 VALID 条目。我的编辑与可读性无关 - 它是为了修复您的答案中不正确和误导性的信息。

【解决方案2】：

它绝对不是恶意软件。

至少，不是出于恶意原因......

如果您使用 cpanel 并且您已使用其 IP Deny Manager 阻止对 212.92.53.18 的访问，那么这将自动写入您的 . htaccess 文件，其目的是阻止该 IP（以及您可能希望输入的任何其他 IP）：

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 212.92.53.18

你使用 cpanel，如果使用，你还记得吗？

【讨论】：

【解决方案3】：

允许 403 to All 只是防止循环。如果您使用“拒绝来自”方法阻止 IP，则向该 IP 提供 403 服务也会被阻止，从而创建一个循环。允许特定的 403 文件为 ALL，将覆盖块 - 将 403 提供给该特定 IP - 否则会发生。这样可以防止循环。

【讨论】：

【解决方案4】：

<Files 403.shtml>
order allow, deny
allow from all
</Files>

我自己在一个旧域上使用它。它只是说“允许任何人访问名为 403.shtml 的文件”；这是禁止访问错误。当然，如果你创建了一个自定义的 403.shtml 页面，你通常会使用它。

在这种情况下，被拒绝的 IP 不会看到自定义 403.shtml，而是会获得白屏死机。

因此，无论如何，这与恶意软件无关。

【讨论】：

【解决方案5】：

可能是可怕的黑客攻击和恶意软件。乌克兰/俄罗斯/印度尼西亚黑客。 2016 年 7 月，他们使用 Prestashop 攻击了许多网站，其中存在图像文件上传漏洞。他们将该 403.shtml 上传到根目录，然后销毁服务器和文件。我检查了我的网站是否在他们的网页上，通知被黑客入侵的网站。他们在某些晚上通过 DDOS 攻击阻止您访问网络以获取 mysql 和 ftp 的通行证。在 prestashop 你必须上传紧急到 1.6.1.16 或者上传一些保护文件。不幸的是，我已经这样做了，但他们并没有停止并再次尝试阻止我的网上商店。

唯一的另一个选择是您将块 ip 放在 cpanel 上，但诀窍是 JakeGould 所说的。恭喜。

【讨论】：

【解决方案6】：

这个？

<Files 403.shtml>
order allow,deny
allow from all
</Files>

deny from  xx.xx.xx.xx

黑客？后门？恶意软件？乌克兰DOS攻击？

当然不是。不是这样的。

当使用“IP Blocker”时，它由 cPanel 自动生成。 cPanel 将其写入您的 .htaccess 文件

“拒绝”只是使用 cPanel IP Blocker 工具时指定的 IP。 cPanel 足够聪明，知道需要的不仅仅是简单的“拒绝”IP4 条目。

【讨论】：