Каждые пару дней на моем компьютере внезапно появляется .htaccess, записанный в самой папке. Я должен сделать del /s .htaccess с моего диска C: чтобы избавиться от них. У меня есть AVG и MalwareBytes, но они не могут найти вирус, и вирус не позволяет обновлять AVG. Есть идеи?
4 ответа
9
Сначала измените свои пароли. Очень похожий вопрос обсуждался на StackOverflow. Ниже приводится цитата из того, что я считал одним из лучших ответов на этот вопрос.
Обычно, когда заражены файлы .htaccess, обычно это результат украденных (скомпрометированных) учетных данных FTP.
Обычно это происходит из-за вируса на ПК, который имеет FTP-доступ к зараженному веб-сайту. Вирус работает разными способами, но обычно один из двух.
Во-первых, вирус знает, где бесплатные программы FTP хранят свои сохраненные учетные данные. Например, с FileZilla на ПК с Windows XP, посмотрите в
%APPDATA%\FileZilla\sitemanager.xmlТам вы найдете в виде простого текста все веб-сайты, имена пользователей и пароли, которые пользователь использовал FileZilla для доступа по FTP.
Вирус находит эти файлы, считывает информацию и отправляет ее на сервер, который затем использует их для входа на веб-сайт (ы) с действительными учетными данными, загружает определенные файлы, в данном случае файлы .htacces, заражает их и затем загружает обратно в веб-сайт. Часто мы видим, где сервер также копирует бэкдоры (сценарии оболочки) на веб-сайт. Это дает хакеру удаленный доступ к веб-сайту даже после изменения паролей FTP.
Во-вторых, вирус работает, перехватывая исходящий трафик FTP. Так как FTP передает все данные, включая имя пользователя и пароль, в виде простого текста, вирус легко может увидеть и украсть информацию для входа в систему таким же образом.
- Измените все пароли FTP немедленно
- Удалить заражение из файлов .htaccess
- Выполните полную проверку на вирусы на всех компьютерах, используемых для передачи файлов FTP на зараженный веб-сайт.
- Если веб-сайт был отмечен Google как подозрительный, запросите проверку в инструментах Google для веб-мастеров.
Если хостинг-провайдер поддерживает это, переключитесь на SFTP, который шифрует трафик, затрудняя его анализ.
Кроме того, посмотрите на все файлы для чего-нибудь, что не принадлежит там. Трудно найти черные ходы, потому что есть так много разных. Вы также не можете перейти по метке даты и времени, потому что эти бэкдоры изменяют метку даты и времени файлов. Мы видели зараженные файлы с той же датой и временем, что и другие файлы в той же папке. Иногда хакеры устанавливают метку даты и времени на случайную более раннюю дату.
Вы можете искать файлы по следующим строкам:
- base64_decode
- Exec
- Еореп
- fsock
- passthru (для файлов .php)
- разъем
Это несколько общих строк в backdoors.backdoors.
Вы также можете найти это Unmasking Antivirus 2009 .htaccess Exploit полезным.
2
Это всего лишь предположение, и после прочтения того, что сказали @Wil и @Harpreet, и размышления о том, почему процесс помещает .htaccess в каждую папку, кажется, что ваш компьютер заражен вирусом или каким-то образом стал часть ботнета. Вы захотите выяснить, прослушивает ли какой-либо процесс входящие соединения через порт 80 (стандартный веб-порт). Самый простой способ выяснить это в командной строке: netstat -a|find ":80" . Если вы получите какой-либо результат, вы затем захотите попытаться выяснить, что слушает. Опять же в командной строке: netstat -ab|more . Вы будете искать линию, которую вы нашли выше. Следующая строка расскажет вам, что слушает.
Размышляя над вопросом "почему", наличие .htaccess в каждой папке может быть способом выставить все на вашем компьютере в Интернет через «веб-сервер». Это может быть тактика, предназначенная для кражи ваших данных или личности. Как отмечает @Wil, .htaccess - это файл конфигурации Apache. Знание содержимого файла .htaccess может дать подсказку. Вы заметили какие-либо другие файлы? Например, ботнет Gumblar также записывает images.php в любые папки с именем images . Атаки .htaccess обычно направлены на веб-серверы и приводят к тому, что трафик автоматически перенаправляется на вредоносные веб-сайты.
0
Я никогда не слышал о вирусе .htaccess, если только он не новый.
У вас установлены Apache или сторонние инструменты Apache? Возможно, что в какой-то момент неправильная конфигурация установит ваш корневой диск в качестве папки docs, и в результате в каждую папку будет записан файл .htaccess.
0
Для удаления вируса предлагаю сделать загрузочный AV CD
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
,