.htacess 病毒 - 有人知道如何摆脱这个病毒吗?

.htacess 病毒 - 有人知道如何摆脱这个病毒吗?

每隔几天,我的电脑上每个文件夹都会突然写入 .htaccess。我必须从 C: 驱动器执行 del /s .htaccess 才能删除它们。我已打开 AVG 和 MalwareBytes,但它们找不到病毒,而且病毒不允许 AVG 更新。有什么想法吗?

答案1

第一的,更改你的密码。已经讨论过一个非常相似的问题在 StackOverflow 上。下面是我认为是该问题的最佳答案之一的引述。

通常,当 .htaccess 文件被感染时,通常是由于 FTP 凭证被盗(泄露)造成的。

这通常是由具有 FTP 访问权限的 PC 上的病毒引起的,这些 PC 可访问受感染的网站。病毒的运作方式多种多样,但通常只有两种。

首先,病毒知道免费 FTP 程序将其保存的登录凭据存储在何处。例如,在 Windows XP PC 上使用 FileZilla,查看%APPDATA%\FileZilla\sitemanager.xml

您将在其中以纯文本形式找到用户使用 FileZilla 通过 FTP 访问的所有网站、用户名和密码。

病毒会找到这些文件,读取信息并将其发送到服务器,然后服务器会使用它们以有效凭证登录网站,下载特定文件(在本例中为 .htacces 文件),感染这些文件,然后将其上传回网站。我们经常看到服务器还会将后门(shell 脚本)复制到网站。即使 FTP 密码已更改,这也能让黑客远程访问网站。

其次,该病毒通过嗅探传出的 FTP 流量来工作。由于 FTP 以纯文本形式传输所有数据(包括用户名和密码),因此病毒很容易通过这种方式查看和窃取登录信息。

  1. 立即更改所有 FTP 密码
  2. 从 .htaccess 文件中删除感染
  3. 对所有用于将文件 FTP 传输到受感染网站的 PC 进行全面病毒扫描
  4. 如果该网站已被 Google 列为可疑网站,请向 Google 的网站管理员工具请求审核。

如果托管服务提供商支持,请切换到 SFTP,它可以加密流量,使嗅探更加困难。

此外,查看所有文件,看看是否有任何不属于其中的内容。很难找到后门,因为后门种类繁多。您也不能根据日期时间戳进行判断,因为这些后门会修改文件的日期时间戳。我们曾看到受感染文件的日期时间与同一文件夹中的其他文件完全相同。有时黑客会将日期时间戳设置为某个随机的较早日期。

您可以在文件中搜索以下字符串:

  • base64_解码
  • 执行
  • 打开
  • 文件系统管理
  • passthru(用于 .php 文件)
  • 插座

这些是 backdoors.backdoors 中常见的字符串。

你可能会发现揭秘 Antivirus 2009 .htaccess 漏洞同样有用。

答案2

这只是猜测,在阅读了 @Wil 和 @Harpreet 所说的内容,并思考了为什么一个进程会放入.htaccess每个文件夹中后,听起来您的计算机要么被病毒感染,要么以某种方式成为僵尸网络的一部分。您需要找出是否有任何进程正在监听端口 80(标准 Web 端口)上的传入连接。找出这一点的最简单方法是在命令提示符下:netstat -a|find ":80"。如果您得到任何结果,您接下来需要尝试找出什么正在监听。同样,在命令提示符下:netstat -ab|more。您将查找上面找到的行。下一行将告诉您正在监听的内容。

在思考“为什么”这个问题时,.htaccess每个文件夹中的 可能是一种通过“网络服务器”将计算机上的所有内容暴露给互联网的技术。这可能是一种旨在窃取您的数据或身份的策略。正如@Wil 所说,.htaccess是一个 Apache 配置文件。了解文件的内容.htaccess可能会提供线索。你有没有注意到还有其他文件出现?例如,Gumblar 僵尸网络还会写入images.php任何名为的文件夹images.htaccess攻击通常以网络服务器为目标,并导致流量被悄悄重定向到恶意网站。

答案3

我从未听说过 .htaccess 病毒,除非这是新病毒。

您是否安装了 Apache 或任何第三方 Apache 工具?有可能在某一时刻,错误配置将您的根驱动器设置为 docs 文件夹,结果导致每个文件夹中都写入了 .htaccess 文件。

答案4

要删除病毒,我建议从启动 AV CD 执行

http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

相关内容