通常,當它是受感染的.htaccess文件時,它通常是被盜(受感染)FTP憑據的結果。
這種情況通常發生在PC上的病毒,該病毒可以通過FTP訪問受感染的網站。病毒以各種方式工作,但通常是其中的一種。
首先,病毒知道免費的FTP程序在哪裏存儲它保存的登錄憑證。例如用FileZilla的Windows XP計算機上,看在:
C:\ Documents和Settings(當前用戶)\應用數據\ FileZilla中\ sitemanager.xml
在那裏,你會發現,在純文本,用戶使用FileZilla通過FTP訪問的所有網站,用戶名和密碼。
病毒發現這些文件,讀取信息並將其發送到服務器,然後服務器使用它們以有效憑據登錄到網站,下載特定文件(在本例中爲.htacces文件),感染它們並然後上傳回網站。我們經常看到服務器也會將後門(shell腳本)複製到網站。即使FTP密碼被改變,這也使得黑客可以遠程訪問網站。
其次,病毒通過嗅探傳出的FTP流量工作。由於FTP以純文本形式傳輸所有數據,包括用戶名和密碼,因此病毒很容易以這種方式查看和竊取登錄信息。
- 改變所有的FTP密碼立即
- 從.htaccess文件中刪除感染
- 執行上使用FTP文件到受感染的網站
- 所有PC完整的病毒掃描如果網站一直被Google列爲可疑,請求Google的網站站長工具進行審覈。
如果託管服務提供商支持它,請切換到加密流量使其更難以嗅探的SFTP。
此外,請查看所有不屬於此處的文件。很難找到後門,因爲有很多不同的。由於這些後門程序修改了文件的日期時間標記,因此無法使用日期時間標記。我們已經看到與同一文件夾中的其他文件具有完全相同日期時間的受感染文件。有時黑客會將日期時間戳設置爲某個隨機的更早日期。
您可以搜索以下字符串的文件:
- BASE64_DECODE
- EXEC
- 的fopen
- fsock
- 中繼(用於.php文件)
- 插座
這些在後門中有些常見的字符串。
我的猜測是該網站的'.htaccess'文件被篡改。 – Pat 2010-08-04 17:06:17