.htacess virus - alguém sabe como se livrar dessa coisa?

Navegue suas respostas
2

A cada dois dias, meu computador repentinamente tem o arquivo .htaccess escrito em uma pasta. Eu tenho que fazer um del / s. Htaccess da minha unidade C: para se livrar deles. Eu tenho o AVG e o MalwareBytes, mas eles não conseguem encontrar o vírus e o vírus não permite a atualização do AVG. Alguma idéia?

    
por shady 10.09.2010 / 02:05

4 respostas

9

Primeiro, altere suas senhas . Uma questão muito semelhante foi discutida no StackOverflow . Abaixo está a citação do que eu acreditava ser uma das melhores respostas dessa pergunta.

Typically when it's the .htaccess files that have been infected, it's usually the result of stolen (compromised) FTP credentials.

This usually happens by a virus on a PC that has FTP access to the infected website. The virus works in a variety of ways, but usually one of two.

First, the virus knows where the free FTP programs stores it's saved login credentials. For instance with FileZilla on a Windows XP PC, look in %APPDATA%\FileZilla\sitemanager.xml

In there you'll find, in plain text, all the websites, usernames and passwords that user has used FileZilla to access via FTP.

The virus finds these files, reads the information and sends it to a server which then uses them to login to the website(s) with valid credentials, downloads specific files, in this case the .htacces files, infects them and then uploads back to the website. Often times we've see where the server will also copy backdoors (shell scripts) to the website as well. This gives the hacker remote access to the website even after the FTP passwords have been changed.

Second, the virus works by sniffing the outgoing FTP traffic. Since FTP transmits all data, including username and password, in plain text, it's easy for the virus to see and steal the login information that way as well.

  1. Change all FTP passwords immediately
  2. Remove the the infection from the .htaccess files
  3. Perform a full virus scan on all PCs used to FTP files to the infected website
  4. If the website has been listed as suspicious by Google, request a review from Google's webmaster tools.

If the hosting provider supports it, switch to SFTP which encrypts the traffic making it more difficult to sniff.

Also, look at all files for anything that doesn't belong there. It's difficult to find backdoors, because there's so many different ones. You can't go by the datetime stamp either because these backdoors modify the datetime stamp of files. We've seen infected files with the exact same datetime as other files in the same folder. Sometimes the hackers will set the datetime stamp to some random earlier date.

You can search files for the following strings:

  • base64_decode
  • exec
  • fopen
  • fsock
  • passthru (for .php files)
  • socket

These are somewhat common strings in backdoors.backdoors.

Você pode encontrar este Desmascarando o Antivirus 2009 .htaccess Exploit também é útil.

    
por 23.05.2017 / 14:41
2

Isto é apenas um palpite, e depois de ler o que @Wil e @Harpreet disseram, e pensando porque um processo colocaria .htaccess em cada pasta, parece que o seu computador está infectado por um vírus ou de alguma forma, tornam-se parte de uma botnet. Você vai querer descobrir se algum processo está escutando conexões de entrada na porta 80 (a porta padrão da web). A maneira mais fácil de descobrir isso é, em um prompt de comando: netstat -a|find ":80" . Se você obtiver algum resultado, em seguida, você vai querer descobrir o que está escutando. Novamente, em um prompt de comando: netstat -ab|more . Você estará procurando a linha que você encontrou acima. A próxima linha dirá o que você está ouvindo.

Ao pensar sobre a pergunta "por que", a presença de .htaccess em cada pasta pode ser uma técnica para expor tudo no seu computador à Internet por meio de um "servidor da Web". Pode ser uma tática destinada a roubar seus dados ou identidade. Como observa o @Wil, .htaccess é um arquivo de configuração do Apache. Conhecer o conteúdo do arquivo .htaccess pode fornecer uma pista. Você notou algum outro arquivo aparecendo? Por exemplo, o botnet do Gumblar também escreve images.php em qualquer pasta chamada images . Os ataques .htaccess geralmente segmentam servidores da web e fazem com que o tráfego seja silenciosamente redirecionado para sites mal-intencionados.

    
por 10.09.2010 / 04:13
0

Eu nunca ouvi falar de um vírus .htaccess, a menos que seja novo.

Você tem o Apache ou qualquer ferramenta Apache de terceiros instalada? É possível que, em um ponto, uma configuração incorreta defina sua unidade raiz como a pasta docs e, como resultado, um arquivo .htaccess está sendo gravado em todas as pastas.

    
por 10.09.2010 / 02:15
0

Para remover o vírus, sugiro fazer a partir de um CD de inicialização do AV

link

.

    
por 14.09.2010 / 03:12

Tags

Adicionar à opção ZIP no menu de contexto do WinRAR Como eu crio um .PDF de páginas selecionadas de um arquivo .PDF existente?