A vírus új formája akik azt látják, amit nem tudnak, az befolyásolja a tárolt webhelyeket nem megbízható szerverek ahol a fiók/alfiók felhasználói „láthatják” egymást. Különösen a tárhelyfiókok a mappában vannak. virtuális gazdagépek"Írás és jog felhasználói mappák A "virtuális tartományokat" a legtöbb esetben az általános felhasználó... viszonteladó kapja. Ez egy olyan módszer, amely nem használ tipikus webszervereket WHM/CPanel.

Action.htaccess - .htaccess Hack

Vírus fájlokat érint .htaccess weboldal áldozatai. sorok hozzáadva / irányelveket nak nek átirányítja a látogatókat(A Yahoo, MSN, Google, facebook, yaindex, Twitter, MySpace stb. nagy forgalmú webhelyek és portálok alapján) néhány olyan webhelyre, amelyek vírusirtó. "Azt hamis vírusirtó, amiről az előszavában írtam.

Íme, hogyan néz ki .htaccess sérült :( Az alábbi linkek tartalmi soraihoz nem lehet hozzáférni )

ErrorDocument 500 hxxp://www.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://www.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://www.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

Írja újra a motort

RewriteCond%(HTTP_REFERER). * Yandex. * $
RewriteCond%(HTTP_REFERER). * Osztálytársak. * $
RewriteCond%(HTTP_REFERER). * Kapcsolatban áll. * $
RewriteCond%(HTTP_REFERER). * Rambler. * $
RewriteCond%(HTTP_REFERER). *Cső. * $
RewriteCond%(HTTP_REFERER). * Wikipédia. * $
RewriteCond%(HTTP_REFERER). *Blogger. * $
RewriteCond%(HTTP_REFERER). * Baidu. * $
RewriteCond%(HTTP_REFERER). * qq.com. * $
RewriteCond%(HTTP_REFERER). * az én helyem. * $
RewriteCond%(HTTP_REFERER). * Twitter. * $
RewriteCond%(HTTP_REFERER). * Facebook. * $
RewriteCond%(HTTP_REFERER). *Google. * $
RewriteCond%(HTTP_REFERER). * élő. * $
RewriteCond%(HTTP_REFERER). * AOL. * $
RewriteCond%(HTTP_REFERER). *Bing. * $
RewriteCond%(HTTP_REFERER). *Amazon. * $
RewriteCond%(HTTP_REFERER). * Ebay. * $
RewriteCond%(HTTP_REFERER). *LinkedIn. * $
RewriteCond%(HTTP_REFERER). * Flickr. * $
RewriteCond%(HTTP_REFERER). * Élő Jasmin. * $
RewriteCond%(HTTP_REFERER). * Is-is. * $
RewriteCond%(HTTP_REFERER). * dupla kattintás. * $
RewriteCond%(HTTP_REFERER). *Pornhub. * $
RewriteCond%(HTTP_REFERER). *Orkut. * $
RewriteCond%(HTTP_REFERER). * Élő napló. * $
RewriteCond%(HTTP_REFERER). * wordpress. * $
RewriteCond%(HTTP_REFERER). * Yahoo. * $
RewriteCond%(HTTP_REFERER). *Kérdez. * $
RewriteCond%(HTTP_REFERER). *Izgat. * $
RewriteCond%(HTTP_REFERER). * Altavista. * $
RewriteCond%(HTTP_REFERER). *MSN. * $
RewriteCond%(HTTP_REFERER). * Netscape. * $
RewriteCond%(HTTP_REFERER). * Hotbot. * $
RewriteCond%(HTTP_REFERER). * Menj. * $
RewriteCond%(HTTP_REFERER). * infokeresés. * $
RewriteCond%(HTTP_REFERER). * Anya. * $
RewriteCond%(HTTP_REFERER). *Minden web. * $
RewriteCond%(HTTP_REFERER). * Lycos. * $
RewriteCond%(HTTP_REFERER). * Keresés. * $
RewriteCond%(HTTP_REFERER). *MetaCrawler. * $
RewriteCond%(HTTP_REFERER). * Posta. * $
RewriteCond%(HTTP_REFERER). * Kutyahalom. * $

RewriteRule. *

RewriteCond%() REQUEST_FILENAME! -E
RewriteCond%() REQUEST_FILENAME!-D
RewriteCond%()*REQUEST_FILENAME Jpg$|!. *. Gif $ | *. Png $
RewriteCond%(HTTP_USER_AGENT). *Ablakok*.
RewriteRule. *

A WordPress-t használók ezeket a sorokat megtalálják a fájlban .htaccess tól től public_html. Ezenkívül a vírus létrehozza. htaccess fájlt ugyanabban a mappában wp tartalom.

*Vannak olyan helyzetek is, amikor a peoriavascularsurgery.com jelenik meg helyette www.thesoulfoodcafe.com vagy más címekre.

Mit csinál ez a vírus.

Az átirányítást követően a látogatókat tárt karokkal fogadja a következő üzenet:

Figyelem!
A számítógép vírusok és rosszindulatú programok jelenlétére utaló különféle jeleket tartalmaz. Vírusvédelmi rendszere azonnali ellenőrzést igényel!
A biztonsági rendszer gyorsan és ingyenesen ellenőrzi a számítógépét vírusok és rosszindulatú programok keresésére.

Nem számít, melyik gombot nyomjuk meg, az oldalra kerülünk" A számítógépem"Utánozásra tervezték Design XP. Ez automatikusan elindít egy "ellenőrzést", amelynek végén azt találjuk, hogy "fertőzött".

Az OK vagy a Mégse gombra kattintás után elindul Letöltés Fájlok setup.exe. azt A setup.exe egy hamis víruskereső hatással van a rendszerre. Néhány rosszindulatú program telepítése további hivatkozások terjesztésére veszélybe kerül, és ezeken kívül is víruskereső szoftver(mind hamis), amelyet az áldozatnak felajánlanak.
Azok, akik már kapcsolatba léptek a vírussal, használhatják ezt az űrlapot. Ezenkívül ajánlott a teljes merevlemez átvizsgálása. Ajánlom Kaspersky Internet Security vagy Kaspersky Anti-Virus.

Ez a fajta vírus megfertőzi az operációs rendszer látogatóit Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98és Windows 95. A mai napig nem ismertek fertőzéses esetek a Windows Vista és a Windows 7 operációs rendszerben.

Hogyan tudjuk megszüntetni ezt a vírust. htaccess fájlt a szerverre, és hogyan lehet megelőzni a fertőzést.

1. Gyanús fájlok elemzése és kódok törlése. Annak biztosítása érdekében, hogy a fájlt ne csak érintse meg .htaccess Neked muszáj elemzi az összes fájlt .php si . js.

2. Írja felül a fájlt. htaccess és telepítsd CHMOD 644 vagy 744 csak írási hozzáféréssel felhasználó tulajdonosa.

3. Amikor tárhelyfiókot hoz létre egy mappában lévő webhelyhez / Itthon vagy /webroot Ez automatikusan létrehoz egy mappát, amely gyakran rendelkezik felhasználónévvel ( felhasználó a cpanelhez, ftp Stb.). Az adatírás és a vírusok egyik felhasználóról a másikra való átvitelének megakadályozása érdekében javasoljuk, hogy minden felhasználói mappát a következőkre állítson be:

CHMOD 644 vagy 744, 755-644 látható.
Chown -R szám_felhasználó számmappa.
CHGRP-R felhasználói szám_mappa

LS-minden hogyan ellenőrizheti, hogy helyesen történt-e. Valami ilyesminek kellene megjelennie:

Dinamikus hangszóró dinamika drwx-x-x 12 4096 május 6 14: dinamika 51 /
drwx-x-x 10 duran duran 4096 március 7. 07:46 duran /
drwx-x-x 12 csöves kémcső 4096 január 29. 11:23 cső /
drwxr-xr-x 14 Express 4096 2009. február 26. express /
drwxr-xr-x 9 ezo ezo 4096 május 19. 01:09 ezo /
drwx-x-x 9 farm 4096 farm 19 22:29 farm /

Ha a fenti FTP-felhasználók egyike Fertőzött fájlok Nem tud vírust küldeni egy másik gazdagép felhasználónak. A minimális biztonsági intézkedés a webszerveren tárolt fiókok védelmére.

A gyakori elemek a vírus által érintett területek.

Minden érintett terület átirányítja a látogatókat webhelyekre a következő domainnév alapján: "/ main.php? e=4&h ".

ez" vírus. htaccess"Bármilyen CMS-re hatással ( Joomla, WordPress, PHPBB stb.) segítségével .htaccess.

. Htaccess Redirect Virus Hack &.

Rosszindulatú / Vírus – .htaccess "újraír" és átirányít

A Joomlában kezeljük a keresési átirányítási vírust

A Joomlában kezeljük a keresési átirányítási vírust

28.04.2016

A Joomla webhely adminisztrálásakor rendszeresen kezelnie kell a rendszert minden feltörés után. Az egyik legkellemetlenebb az úgynevezett keresési átirányítási vírus, amikor egy webhelyet feltör egy shell, majd beszúr egy keresési átirányítást, aminek következtében az Ön webhelye megjelenik a keresőben, de a felhasználó átirányítja a pornó vagy iszlám oldalak. Ennek eredményeként az átállás után a következő üzenetet kapja:

Ezután egy keresőmotor hasonló üzenetet kezd kiadni, hogy webhelye fertőzött vagy feltört. A Yandexben pedig akár el is repülheti pozícióit. Ennek eredményeként forgalomcsökkenés, vásárlók elvesztése, rendelések hiánya.

Helyreállítási eljárás.

1. Készítsen biztonsági másolatot, töltse le.
2. Ha nincs vírusellenőrzés a tárhelyen, futtassa le a letöltött biztonsági másolatot egy vírusirtóval. Megtaláljuk a shell vírus fájljait, esetemben ez a PHP.Shell.387. Ez a vírus egy olyan típusa, amely a vezérlőrendszer biztonságában lévő "lyukat" használja ki.

3. Távolítsa el a vírusfájlokat a tárhelyről.
4. Módosítsa a jelszavakat az adminisztrációs panelen, ftp
5. Mivel a trójaiak keresésének nincs hatása, és manuálisan keresem, hogy hova fecskendezték be a PHP kódot elég sokáig, és nem mindig hatékonyan, ezért készítek egy backup mixet. A mix az oldal bármely fájl biztonsági mentése a vírusok bevezetése előtt, az adatbázis aktuális marad, nem a biztonsági másolatból, majd a mappát a friss biztonsági másolatból vesszük képeket képekkel és mappával Componentscom_jshoppingfilesimg_products hol vannak a képek a termékekről.
Eredmény: Örülünk az eredménnyel.
P.S. Mi a teendő, ha nincs biztonsági mentés? vagy ehhez hívjon fel szakembereket. Talán egy tárhelyről készült biztonsági másolat segít, de automatikusan felülírja, és valószínűleg nem menti, mivel vírust tartalmaz.

Utólagos megelőzés:

1. A megtakarítás nem lehet gazdaságos. Ha lehetséges, változtassa meg a vezérlőrendszert.
2. Határozottan változtassa meg a tárhelyet. Ne spórolj ezen. Az én gyakorlatomban ugyanaz a Joomla kétszer elromlott a timeweben, de ez a baj fele. A kulcs az volt, hogy a tárhely még negyedévente egyszer sem végez vírusellenőrzést a szerverein. Javasoljuk, hogy használjon olyan gazdagépet, amely napi víruskeresőt végez, és ingyenes kézi víruskereső szolgáltatás is elérhető. Például ez a reg.ru
3. Ne mentse el az FTP jelszavakat.

Egyetlen webhelytulajdonos sem akarja, hogy a webhelyéről érkező forgalom ismeretlen webhelyekre irányítsa át – ez nem érdekli az ügyfeleket, aláássa a vásárlók bizalmát, és szankciókat von maga után a keresőmotorok és a vírusirtó részéről.

Ebben a cikkben megvizsgálom a vírusátirányítások beágyazásának főbb lehetőségeit.

Figyelem! Az átirányítás törlésével csak a következményt törli, hogy a helyzet ne ismétlődjön meg, keresse a vírusok okát az oldalon!

Ezenkívül a rosszindulatú átirányításokat rosszul észlelik a szkennerek és a vírusirtók, ami gyakran megköveteli a gonosz forrásának kézi keresését.

Mindenekelőtt a kód beszúrását keressük a fájlokba .htaccess, különösen a webhely gyökerében

Minden, amivel kapcsolatos ÚjraírniÉrdemes megnézni, hogy hova irányítja át.

Az alábbiakban adok néhány rosszindulatú beszúrást - amelyek ajtónyílásokat és több ezer oldalt hoznak létre a keresésben, az úgynevezett japán spamet (seo-spam, hieroglifás oldalak - sok név van):

Újraírási szabály ^([^\d\/]+)-(+)-(+)%(.*)+%+%([^\d\/]+)+%(.*)+%+%( [^\d\/]+)+%(.*)+%+%([^\d\/]+)([^\d\/]+)%(.*)+%+%+% (.*)+%+%(.*)F%(.*)+%(.*)+%([^\d\/]+)(+)%(.*)+%+%+% +%(.*)+%(.*)+%([^\d\/]+)+%(.*)+%+%+%(.*)+%+%+%(.*) +%(.*)+%+%(.*)+%([^\d\/]+)(.*)%(.*)+%(.*)+%(.*)(.*) )%([^\d\/]+)F%(.*)+%+%([^\d\/]+)+%(.*)+%+%+(+)%(.*) )+%+%(.*)(.*)%(.*)+%+%([^\d\/]+)+%(.*)+%+%(.*)([^\ d\/]+)%(.*)+%(.*)+%(.*)(+)%(.*)+%(.*)(.*)%+(.*)%(. *)+%+F%(.*)F%(.*)+%+%([^\d\/]+)(+)%(.*)+%+%(.*)([^ \d\/]+)%+\/.*..*$ ?$65$39=$62&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*-.*-F.*-([^\d\/] ]+).*-+..*$ ?$7$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(+)+%+([^\d\/]+)+%+(+)+%+([^\d \/]+)+%+(+)+%+([^\d\/]+)+%+(+)+%+([^\d\/]+)(+)%+(+ )+%+%+(+)+%+([^\d\/]+)-.*-+..*$ ?$15$1=$14&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)-+.*+..*$ ?$1$3=$2&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+).*HM+L.*+.*+N.*+YW.*+.*+.*(+)+.* +F.*W+.*+.*F+ZW.*HR.*(.*)--$ ?$2$10=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+).*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+).*..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+).*(+).*L+N.*YXJ.*HJ.*WF.*+.*Y+.*(.* ).*R.*Y.*V.*+Q.*$ ?$2$1=$4&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)\/$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+).*(+).*L+.*+.*+YW.*+.*+.*(+)+-$ ? 2$8=4$&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*% +F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+).*HM+L.*+.*F+ZW.*WF.*+.*Y+.*(.*).* ZG+.*ZXN+.*WN.*ZH(.*).*$ ?$2$1=$3&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)$ ?$36$1=35$&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+$ ?$1$3=$4&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*- .*%+F$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-+-.*-.*-. *-.*-.*%+F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)_+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/.*-.*-+-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/+.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(.*)+%+%+-.*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+)-.*-V.*%+(.*)+%+%+.*-S.*+..*$ ? $2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/.*-.*-+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)-+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)..*&.*=.*\:\/.*-+..*\/.*-.*-.* -.*-.*-.*\/&.*=+K([^\d\/]+)&.*=%(+)+%(.*)+%(+)+%([ ^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+%(+)+%([^\ d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([^\d\/]+)+ %(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^ \d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+) +%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\ d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)F%(+)+%( [^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+%(+)+% ([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+) %(+)+%([^\d\/]+)+&.*=+&.*=+&.*=+&.*=.*\:\/.*+..*.. *..*\/.*\?.*=OIP.(.*).*U.*+.*(+).*U.*+.*+V+.*Q(.*).*( +).*&.*=+.+&.*=+&.*=+&.*=+&.*=+&.*=+&.*=%(+)+%(.*) +%(+)+%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([ ^\d\/]+)+%(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%( [^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+% ([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+% ([^\d\/]+)(+)%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)++% (+)+%([^\d\/]+)F%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/ ]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+&.*=+.*+.* &.*=+.*+.*&.*=+.*+.*&.*=+.*+.*+.*&.*=+.*+.*+.*$ ?148 $146 =147 USD&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%([^\d\/]+)+%(+)+%([^\d\/]+)+% (+)+%([^\d\/]+)+%(+)+%+%(+)+%+([^\d\/]+)&.*=+&.*=+ $ ?$11$1=$10&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+% .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/$ ?$2$1=$3&%(QUERY_STRING )[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%.*%.*+%.*%.*+%.*+%.*+%.*%.*+% +.*\/$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)\/.*-.*\/+\/.*$ ?$2$1=$3&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)\/.*\/+\/$ ?$36$1=35$&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+\/$ ?$1$3=$4&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)+%+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+% +%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+ %([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=50$&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/.*-.*-.*-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)++%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+% ([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=50$&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/+.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+% .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/.*\/+\/$ ?2 USD $1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)&.*=-+$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)&.*=+$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*\/$ ?$1$3=$4&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*..*$ ?$2$1=$3&%(QUERY_STRING)[ L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)..*$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%([^\d\/]+ )([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+)+ %+([^\d\/]+)\/$ ?$15$1=14$&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)\/$ ?$36$1=35$&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)-.*\/\?.*=+$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Ha ilyesmit lát - nyugodtan törölheti, ha kétségei vannak, hogy melyik sorokat hagyja el, akkor vegye be a CMS szabványos fájlját - ott nem lesz vírus!

Általában az átirányításokat írják elő mobilról és táblagépről érkező kérések esetén:

android|plucker|zseb|psp|symbian|treo|vodafone|wapés a mobil fejlécek egyéb változatai

ami a keresőmotorokból való átmenetet illeti:

yandex|google|mail|rambler|vk.com

Ha ez az elem nem segített, akkor figyeljen az oldal kódjára - néha Javascripten keresztül gyakran átirányítást adnak hozzá

A rosszindulatú kódok eltávolításához előfordulhat, hogy az összeset ki kell cserélnie .js fájlokat.

Ügyeljen arra, hogy ellenőrizze az indexfájlokat és a sablon mappát – ezek a hackerek kedvenc helyei a vírusok számára. Különösen óvatosan nézze át a fájlokat. index.php, lábléc.php, fej.php, fejléc.php- az utóbbi időben népszerűvé vált, hogy magukat a vírusokat nem bennük, hanem linkek formájában helyezik el. Ezért gondosan ellenőrizze, hogy mely fájlok töltődnek be parancsokkal tartalmazzaés igényelnek.

A legkifinomultabb betétek már betölthető modulokban, bővítményekben és komponensekben készülnek. Ezek lehetnek külön beágyazott modulok (főleg, ha az adminisztrációs panelt feltörték), vagy egyszerűen titkosított kód beillesztése ismert és népszerű kiterjesztésű fájlokba.

Például az utóbbi időben több oldallal is találkoztam zűrzavar(főleg a Joomla 2.5), ahol az út mentén include/inc.class.php maga a vírus található, és a következő sor bekerül az alkalmazás.php fájlba ugyanabban a mappában

request_once($_SZERVER["DOKUMENTUM_GYÖKÉR"]."/includes/inc.class.php");

Általában ezzel párhuzamosan könyvtárak/joomla/alkalmazás van egy joomla-app.php nevű átirányító vírus

Mindenesetre, ha egy harmadik fél webhelyére való átirányítást észlel az oldalon, akkor feltétlenül tegye meg a biztonsági intézkedéseket, és ellenőrizze a teljes webhelyet. Ha saját maga nem tudja megtenni, akkor feltétlenül vegye fel a kapcsolatot a víruseltávolító és webhelyvédelmi szakemberekkel.

Sziasztok. Ez a rövid cikk a WordPress blog védelmére összpontosít a vírusok és trójai programok ellen, mint pl Mobil átirányítás, ő van JS: Redirector-MC . Az AVAST vírusirtó és az OPERA böngésző segítségével észlelhető, más vírusirtók még nem látják, ismétlem, még nem látják.

Ha észrevetted ezt a vírust a blogodon, akkor itt nincs okod aggódni, most megtanítom, hogyan kezeld ezt a betegséget. Amikor az Opera böngészővel felkereste az oldalt, a „Trójai blokkolva” ablakot látta, a fertőzés „ JS: Redirector-MC” ez a mi mobil átirányításunk.

A következő módon fogunk vele foglalkozni.

Nyissa meg a functions.php fájlt, és a legalul a következő kódot találja:

A mi feladatunk ennek a kódnak az eltávolítása.

Ezt többféleképpen is megteheti:

1. Törölje manuálisan a kódot.
2. Keresse meg a functions.php fájl másolatát, és töltse fel újra a tárhelyre

A kód törlése után megnézzük a speciális online szolgáltatásokkal foglalkozó blogunkat, hogy megnézzük, vannak-e további szolgáltatások a blogon.

Valószínűleg kérdései vannak azzal kapcsolatban, hogy honnan származik ez a vírus. Az interneten turkáltam, és olyan választ találtam, ami nem nagyon boldogított, leveszem, mint a képernyőt.

Az olvasottakból arra a következtetésre juthatunk, hogy a WordPress szolgáltatásunk sem 100%-ban biztonságos.

2 blogon kaptam el ezt a vírust, azt tanácsolom, hogy ellenőrizze a blogjait, hogy vannak-e vírusok, különösen a Timeweb által üzemeltetetteken.

Ha nem észlelik időben a vírust, a blogod gyorsan pozícióba kerülhet, nagy százalékban lesznek meghibásodások, általában semmi jó nem vár rád.

A vírus eltávolítása után azt tanácsolom:

1. Frissítse a WordPress-t
2. FTP jelszó módosítása
3. Változtassa meg a tárhely jelszavát
4. Végezzen teljes számítógép-ellenőrzést a vírusok keresésére

Ha a blogodat feltörték, már írtam róla. A legfontosabb, hogy időben észrevegyük és semlegesítsük. Ha valami nem működik vagy nem világos, kérem, forduljon hozzám segítségért.