每隔几天我的电脑就会突然将 .htaccess 写入到它的文件夹中。我必须从我的 C: 驱动器执行 del /s .htaccess 以摆脱它们。我打开了 AVG 和 MalwareBytes,但他们找不到病毒,而且病毒不会让 AVG 更新。有任何想法吗?
小智 9
首先,更改您的密码。在 StackOverflow 上讨论了一个非常相似的问题。以下是我认为是该问题的最佳答案之一的引述。
通常,当 .htaccess 文件被感染时,通常是由于 FTP 凭据被盗(受损)所致。
这通常是由具有对受感染网站的 FTP 访问权限的 PC 上的病毒引起的。该病毒以多种方式起作用,但通常是两种方式之一。
首先,病毒知道免费 FTP 程序将其保存的登录凭据存储在哪里。例如在 Windows XP PC 上使用 FileZilla,查看
%APPDATA%\FileZilla\sitemanager.xml在那里,您会以纯文本形式找到用户使用 FileZilla 通过 FTP 访问的所有网站、用户名和密码。
病毒找到这些文件,读取信息并将其发送到服务器,然后服务器使用它们以有效凭据登录网站,下载特定文件,在这种情况下是 .htacces 文件,感染它们,然后上传回网站。我们经常看到服务器也会将后门(shell 脚本)复制到网站的位置。即使 FTP 密码已更改,这也使黑客可以远程访问网站。
其次,该病毒通过嗅探传出的 FTP 流量起作用。由于 FTP 以纯文本形式传输所有数据,包括用户名和密码,因此病毒也很容易以这种方式查看和窃取登录信息。
- 立即更改所有 FTP 密码
- 从 .htaccess 文件中删除感染
- 对所有用于将文件通过 FTP 传输到受感染网站的 PC 执行全面病毒扫描
- 如果该网站已被 Google 列为可疑网站,请请求 Google 的网站管理员工具进行审核。
如果托管服务提供商支持它,请切换到 SFTP,它对流量进行加密,使其更难以嗅探。
另外,查看所有文件中是否有不属于那里的任何内容。很难找到后门,因为有很多不同的后门。你也不能通过日期时间戳,因为这些后门修改了文件的日期时间戳。我们已经看到受感染的文件与同一文件夹中的其他文件具有完全相同的日期时间。有时,黑客会将日期时间戳设置为某个随机的较早日期。
您可以在文件中搜索以下字符串:
- base64_decode
- 执行
- 打开
- 袜子
- passthru(用于 .php 文件)
- 插座
这些是 backdoors.backdoors 中比较常见的字符串。
您可能会发现这个Unmasking the Antivirus 2009 .htaccess Exploit 也很有用。
| 归档时间: |
|
| 查看次数: |
1730 次 |
| 最近记录: |