Является ли этот литерал или код в файле .htaccess?

Справочная информация. Недавно знакомый бизнес связался со мной из-за странного поведения на его веб-сайте. Как и следовало ожидать, я обнаружил, что сайт был взломан.

Одним из признаков компромисса являются изменения в его файле .htaccess, что довольно распространено. Я только немного сделал регулярное выражение, но я знаком с конструкцией [0-9]. Тем не менее, я нашел RewriteRule, который, как представляется, имеет буквальное число.

RewriteRule ^5014466727/(.*)$ jabez-darla.php [QSA,L]

Вопрос: Правильно ли я понимаю, что это правило ищет соответствие по URL-адресу, который буквально имеет 5014466727/, или это означает какая-то строка других персонажей?

В других частях компромисса есть base64, но я не знаю, относится ли это к этому конкретному коду.

3 голоса | спросил Nora McDougall-Collins 20 72016vEurope/Moscow11bEurope/MoscowSun, 20 Nov 2016 20:35:48 +0300 2016, 20:35:48

1 ответ


2
RewriteRule ^5014466727/(.*)$ jabez-darla.php [QSA,L]
     

... это правило ищет соответствие по URL, который буквально имеет 5014466727 /

Да, как указано в комментариях closetnoc, это просто буквальная строка (казалось бы, случайных) цифр в start URL-адреса.

Так как захваченная группа (т.е. (.*)), похоже, не используется в подмене ( или в любых предыдущих директивах RewriteCond), шаблон ^5014466727/(.*)$ эквивалентно ^5014466727/.

Похоже, случайное число (которое может быть уникальным для сайта /взлома), вероятно, просто затрудняет поиск в поисковых системах.

ответил MrWhite 25 52016vEurope/Moscow11bEurope/MoscowFri, 25 Nov 2016 16:45:46 +0300 2016, 16:45:46

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132