Malware / Virus -. Htaccess "rewrite" & redirect

Een nieuwe vorm van virus die zien dat niet weten erg veel invloed op websites gehost op onbetrouwbare servers waar gebruikers accounts / sub-accounts kan "zien" elkaar. In het bijzonder, zijn hosting accounts allemaal gemaakt in de map "vhosts"Schrijven en het recht van gebruikersmap de "vhosts" wordt gegeven een algemene gebruiker ... reseller in de meeste situaties. Het is een methode die geen gebruik maakt van de typische webservers WHM / cPanel.

Virus actie Htaccess -.. Htaccess Hack

Virus invloed op bestanden .htaccess het slachtoffer site. Lijnen worden toegevoegd / Richtlijnen naar redirect bezoekers (Vanuit yahoo, msn, google, facebook, yaindex, twitter, myspace, enz. sites en portals met veel verkeer) om een ​​aantal websites die bieden "antivirus. "Het is nep antivirus, Waarover ik schreef in de inleiding van .

Hier is wat het lijkt op een .htaccess beïnvloed: (niet onder toegang tot de inhoud URLs lijnen)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wordpress. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ga naar. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mama. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Zoeken. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MetaCrawler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. * Windows. *
RewriteRule. * [R, L]

REQUEST_FILENAME RewriteCond% {}! -f
REQUEST_FILENAME RewriteCond% {}! -d
RewriteCond% {REQUEST_FILENAME} * Jpg $ |!.. * Gif $ |. * Png $
RewriteCond% {HTTP_USER_AGENT}. * Windows. *
RewriteRule. * [R, L]

Degenen die gebruik maken WordPress vindt deze regels in het bestand .htaccess van public_html. Bovendien, het virus creëert een. Htaccess bestand in dezelfde map wp-content.

*Er zijn ook situaties waarbij in plaats verschijnt peoriavascularsurgery.com dns.thesoulfoodcafe.com of andere adressen.

Wat maakt dit virus.

Eenmaal doorgestuurd, wordt de bezoeker begroet met open armen ontvangen door het bericht:

Waarschuwing!
Uw computer bevat verschillende tekenen van virussen en malware programma's Aanwezigheid. Uw anti-virus systeem vereist onmiddellijke controle!
Security System zal een snelle en gratis scannen van uw pc op virussen en schadelijke programma's.

1 malware

Het maakt niet uit welke knop wordt ingedrukt, worden we meegenomen naar de pagina "Deze computer"Gemaakt om na te bootsen XP ontwerp. Dit wordt automatisch gestart "scannen" aan het einde waarvan we vinden dat "besmet".

2 malware

Nadat u op OK klikt of Annuleren, begint downloadenFile's setup.exe. deze setup.exe is nep anti-virus systeem beïnvloedt. Installeer sommige malware naar gecompromitteerde verdere links propageren, en naast deze een anti-virus software (Alle false) dat het slachtoffer wordt uitgenodigd om te kopen.
Degenen die al hebben contact opgenomen met het virus kunt dit formulier gebruiken . Het is ook aanbevolen om de gehele harde schijf te scannen. Adviseren Kaspersky Internet Security of Kaspersky Anti Virus.

Dit type virus treft Visitor OS besturingssystemen Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 en Windows 95. Tot op heden zijn er geen gevallen bekend van besmetting van de besturingssystemen Windows Vista en Windows 7.

Hoe kunnen we elimineren van dit virus. Htaccess bestand op de server, en hoe om infectie te voorkomen.

1. Analyseer verdachte bestanden en wissen van codes. Om ervoor te zorgen dat het bestand niet alleen beïnvloed .htaccess moet u analyseren van alle bestanden . Php si . Js.

2. Herschrijf het bestand. Htaccess en stel de chmod 644 of 744 met schrijftoegang alleen eigenaar gebruiker.

3. Wanneer u een hosting account voor een website in de map / Home of / Webroot Dit maakt automatisch een map die vaak de naam van de gebruiker (gebruiker voor cpanel, ftpEnz.). Om het schrijven van gegevens en overbrenging van virussen van de ene gebruiker naar de andere te voorkomen, is het aanbevolen dat elke gebruiker de map in te stellen:

chmod 644 of 744, 755 - getoond is 644.
chown-R nume_user nume_folder.
chgrp-R nume_user nume_folder

ls-all manieren om te controleren of ze correct zijn. Mocht zoiets als dit verschijnen:

drwx-x-x 12 dinamics dinamics mei 4096 6 14: 51 dinamics /
drwx-x-x 10 4096 maart 7 07 Duran Duran: Duran 46 /
drwx-x-x 12 buizen buizen 4096 Jan 29 11: 23 buizen /
drwxr-xr-x 14 4096 februari 26 2009 Express Express Express /
drwxr-xr-x 9 EZO EZO 4096 mei 19 01: 09 EZO /
drwx-x-x 9 pharma farma 4096 december 19 22: 29 pharma /

Als een van de hierboven userele FTP Geïnfecteerde bestandenHet kan het virus niet naar een andere gebruiker host. Is een minimumvoorschriften inzake veiligheid maatregel om de rekeningen gehost op een webserver te beschermen.

Gemeenschappelijke elementen van gebieden die door dit virus.

Beïnvloed Alle gebieden redirect bezoekers naar sites op domeinnaam met "/".

Deze "virus. htaccess"Laat de CMS (Joomla, WordPress, phpBBEnz.) met .htaccess.

. Htaccess Redirect Virus Hack &.

Malware / Virus -. Htaccess "rewrite" & redirect

Over de auteur

stealth LP

Oprichter en redacteur stealth InstellingenIn 2006 datum.
Ervaring op Linux-besturingssystemen (vooral CentOS), Mac OS X, Windows XP> Windows 10 en WordPress (CMS).

Laat een bericht achter

Deze site gebruikt Akismet om spam te verminderen. Ontdek hoe uw reactiegegevens worden verwerkt.