HostRace
  ПОДДЕРЖКА

  хостинг
<< Назад       Недоступны сайты

Вопрос: Здравствуйте! Недоступны сайты http://turkey.firstbeach.ru/ http://firstbeach.ru/ http://greece.firstbeach.ru/ http://koshkavdome.ru/ http://egyptfirst.ru/ http://goafirst.ru/ и тд
Ответ:

Здравствуйте. вам высылалось уведомление о рассылке спама с вашего сервера. сервер заблокирован до выяснения

Ответ:

spam or abuse from scomp@aol.net.

This is an information email only and does not require any further action
on your part. It is your choice whether or not to investigate the complaint.
We do not expect any response.

The following hint should assist you to evaluate the submitted information from AOL
so you can determine which AOL email address caused the complaint:

In the complaint email from AOL you will find a message ID and a timestamp.
These two pieces of information enable you to find the AOL mailbox in the mailserver
logfiles which caused the complaint.

Important note:
When you reply to us, please leave the abuse ID [AbuseID:10E259:10] unchanged in the
subject line.

Best regards,

Hetzner-Support

Hetzner Online AG
Industriestr. 25
91710 Gunzenhausen
Tel: +49 (9831) 505-0
Fax: +49 (9831) 505-3
abuse@hetzner.de
www.hetzner.de

Register Court: Registergericht Ansbach, HRB 3204
Management Board: Dipl. Ing. (FH) Martin Hetzner
Chairwoman of the Supervisory Board: Diana Rothhan


----- attachment -----

Return-path: <scomp@aol.net>
Envelope-to: abuse@hetzner.de
Delivery-date: Mon, 14 Jul 2014 20:18:54 +0200
Received: from [205.188.255.71] (helo=smr-d01.mx.aol.com)
by lms.your-server.de with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.74)
(envelope-from <scomp@aol.net>)
id 1X6kpx-0008BE-Va
for abuse@hetzner.de; Mon, 14 Jul 2014 20:18:54 +0200
Received: from scmp-m005.mail.aol.com (scmp-m005.mail.aol.com [172.26.254.233])
by smr-d01.mx.aol.com (AOL Mail Bouncer) with ESMTP id 374A03800567
for <abuse@hetzner.de>; Mon, 14 Jul 2014 14:18:45 -0400 (EDT)
Received: from scomp@aol.net by scmp-m005.mail.aol.com; Mon, 14 Jul 2014 14:18:41 EDT
To: abuse@hetzner.de
From: scomp@aol.net
Date: Mon, 14 Jul 2014 14:18:41 EDT
Subject: Email Feedback Report for IP 144.76.171.244
MIME-Version: 1.0
Content-Type: multipart/report; report-type=feedback-report;
boundary="boundary-1138-29572-2659438-15810"
X-AOL-INRLY: static.244.171.76.144.clients.your-server.de [144.76.171.244] scmp-m005
X-Loop: scomp
X-Virus-Scanned: Clear (ClamAV 0.97.8/19189/Mon Jul 14 12:36:34 2014)
X-Spam-Score: 2.5 (++)
Delivered-To: he1-abuse@hetzner.de

--boundary-1138-29572-2659438-15810
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: 7bit

This is an email abuse report for an email message with the message-id of
91B55BCF3635BEA79929FD0FC2B8C691@firstbeach.ru received from IP address
144.76.171.244 on Mon, 14 Jul 2014 01:45:11 -0400 (EDT)

For information, please review the top portion of the following page:
http://postmaster.aol.com/Postmaster.FeedbackLoop.php

For information about AOL E-mail guidelines, please see
http://postmaster.aol.com/Postmaster.Guidelines.php

If you would like to cancel or change the configuration for your FBL please use the
tool located at:
http://postmaster.aol.com/SupportRequest.FBL.php


--boundary-1138-29572-2659438-15810
Content-Disposition: inline
Content-Type: message/feedback-report

Feedback-Type: abuse
User-Agent: AOL SComp
Version: 0.1
Received-Date: Mon, 14 Jul 2014 01:45:11 -0400 (EDT)
Source-IP: 144.76.171.244
Reported-Domain: static.244.171.76.144.clients.your-server.de
Redacted-Address: redacted
Redacted-Address: redacted@


--boundary-1138-29572-2659438-15810
Content-Type: message/rfc822
Content-Disposition: inline

Return-Path: <anthonyurdaz@gmail.com>
Received: from vps.gipermarkett.ru (static.244.171.76.144.clients.your-server.de
[144.76.171.244])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by mtaig-aac03.mx.aol.com (Internet Inbound) with ESMTPS id B3A7A70000090
for <redacted@aol.com>; Mon, 14 Jul 2014 01:45:11 -0400 (EDT)
Received: from firstbeach.ru (IGLD-84-229-6-1.inter.net.il [84.229.6.1])
(authenticated bits=0)
by vps.gipermarkett.ru (8.14.3/8.14.3/Debian-9.4) with ESMTP id s6E5gKVs028993;
Mon, 14 Jul 2014 09:42:23 +0400
Message-ID: <91B55BCF3635BEA79929FD0FC2B8C691@firstbeach.ru>
From: "Anthony Pena" <anthonyurdaz@gmail.com>
To: redacted@aol.com
redacted@gmail.com
redacted@gmail.com
redacted@hotmail.co.uk
Subject: =?ISO-8859-1?Q?Anthony_Pena_-_7=2F14=2F2014_6=3A45=3A09_?=
=?ISO-8859-1?Q?AM?=
Date: Sun, 14 Jul 2014 06:45:09 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_CBF7_98C3AB19.34CB8D9F"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110
x-aol-global-disposition: S
X-AOL-SCOLL-DMARC: mtaig-aac03.mx.aol.com ; domain : gmail.com ; policy : none ;
result : F
Authentication-Results: mx.aol.com;
spf=softfail (aol.com: the domain gmail.com reports 144.76.171.244 should not be
sending mail using it's domain name, but is not forbidden from doing so.)
smtp.mailfrom=gmail.com;
dmarc=fail (aol.com: the domain gmail.com reports that Neither SPF nor DKIM align.)
header.from=gmail.com;
X-AOL-REROUTE: YES
x-aol-sid: 3039ac1b021753c36e67596b
X-AOL-IP: 144.76.171.244
X-AOL-SPF: domain : gmail.com SPF : softfail

This is a multi-part message in MIME format.

------=_NextPart_000_CBF7_98C3AB19.34CB8D9F
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

http://muratcelik.biz/bmd/lxmcfzhwyodriibpktwusqjxbbf.dmdngkkecgj
------=_NextPart_000_CBF7_98C3AB19.34CB8D9F
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

=EF=BB=BF<HTML><HEAD><META http-equiv=3D"content-type" content: text/html;=
charset=
=3DUTF-8></HEAD><BODY>http://muratcelik.biz/bmd/lxmcfzhwyodriibpktwusqjxbbf.dm=
dngkkecgj</BODY></HTML>

------=_NextPart_000_CBF7_98C3AB19.34CB8D9F--


--boundary-1138-29572-2659438-15810--тредактировано: 25-09-2013]

Вопрос: Как долго будет выясняться проблема?
Ответ:

проблема будет выясняться пока не будет найден источник спама. источником спама является один из ваших сайтов. т.к. сайтов у вас много то поиск крайне затруднителен.  никаких сроков мы дать Вам к сожалению не можем.

Вопрос: Ясно, спасибо
Ответ:

ожидайте пожалуйста, вашей проблемой занимаются. просьба вспомнить есть ли у вас сайты с простыми паролями авторизации администратора сайта?

Вопрос: Все пароли типа Rfyljkbv2014!@# Rfkfyuen2014 Dtkjcbgtl53 Логины - названия доменов
Ответ:

/www/kmvsanatorii.ru/tmp/index.php Virus found PHP/BackDoor
./www/kmvsanatorii.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
это пока что нашел антиврус, и еще не все проверено

Вопрос: Ок, жду указаний к действию
Ответ:

откуда у вас этот сайт? эти файлы заражены еще в 2013 году

 

Вопрос: kmvsanatorii.ru? - как обычно - купила домен, сделала сайт. Раньше не было на него жалоб
Ответ:

когда он был загружен?

Ответ:

вот еще

./www/intereesno.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/rndregion.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/mnogadeneg.ru/tmp/index.php Virus found PHP/BackDoor
./www/mnogadeneg.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK

Вопрос: К вам он со всеми сайтами переехал, на VPS вы меня перенесли в в марте 2013, до этого на других тарифах у вас же
Ответ:

вирусы обнаружены и на других сайтах

Ответ:

./www/kmvsanatorii.ru/tmp/index.php Virus found PHP/BackDoor
./www/kmvsanatorii.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/intereesno.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/rndregion.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/mnogadeneg.ru/tmp/index.php Virus found PHP/BackDoor
./www/mnogadeneg.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/oprogah.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/ogorrodik.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/egyptfirst.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/univermagg.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/koshkavdome.ru/tmp/index.php Virus found PHP/BackDoor
./www/koshkavdome.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK

Вопрос: чуть больше месяца назад все зараженные файла и паки-вирусы с сайтов удалила, все пароли поменяла, и опять :-(
Вопрос: Сейчас что нужно делать?
Ответ:


./www/kmvsanatorii.ru/tmp/index.php Virus found PHP/BackDoor
./www/kmvsanatorii.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/intereesno.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/rndregion.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/mnogadeneg.ru/tmp/index.php Virus found PHP/BackDoor
./www/mnogadeneg.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/oprogah.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/ogorrodik.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/egyptfirst.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/univermagg.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/koshkavdome.ru/tmp/index.php Virus found PHP/BackDoor
./www/koshkavdome.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/firstbeach.ru/images/index.php Virus found PHP/BackDoor
./www/firstbeach.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/woodfusion.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/goafirst.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/vkusnotaa.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/spainshotels.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/beachotel.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/kgadalkenehodi.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/rndtravel.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/kvarttirka.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/sofftinki.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK

 

сейчас все еще идет работа антивируса

Вопрос: Я так понимаю все домены 2-го уровня заражены, сделанные на joomla. этих файлов в пакете джумлы нет
Ответ:

похоже что у вас все домены заражены

Вопрос: может и так :-(
Ответ:

вот чт нашел антивирус


./www/intereesno.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/rndregion.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/mnogadeneg.ru/tmp/index.php Virus found PHP/BackDoor
./www/mnogadeneg.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/oprogah.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/ogorrodik.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/egyptfirst.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/univermagg.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/koshkavdome.ru/tmp/index.php Virus found PHP/BackDoor
./www/koshkavdome.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/firstbeach.ru/images/index.php Virus found PHP/BackDoor
./www/firstbeach.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/woodfusion.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/goafirst.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/vkusnotaa.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/spainshotels.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/beachotel.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/kgadalkenehodi.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/rndtravel.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/kvarttirka.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/sofftinki.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/eghotel.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/turmarkett.ru/tmp/index.php Virus found PHP/BackDoor
./www/turmarkett.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK
./www/ezoterikus.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK

Ответ:

т.к. заражены почти все сайты, они все нуждаются в более тщательной проверке. выполние ее скриптами http://www.revisium.com/ai/

Ответ:

мы запустили проверку каждого сайта

Вопрос: Ок, спасибо. От меня требуются какие-то действия?
Ответ:

да, после работы айболита, вам нужно будет сменить все пароли на всех сайта, и провести анализ полученого результата сканирования. мы скажем вам когда закончится сканирование всех сайтов

Вопрос: Ок, спасибо
Ответ:

проанализировано 6 сайтов

Вопрос: ок, спасибо
Ответ:

10 сайтов проверено

Ответ:

15 сайтов провреено

Вопрос: ок
Вопрос: нелегкая у айболита работа :-(
Ответ:

проверено 20 сайтов

Ответ:

сообщите пожалуйста ip с котрого вы будете работат. мы откроем вам доступ

Вопрос: 86.110.168.184
Ответ:

ожидайте пожалуйста, сейчас вам будет предоставлен доступ

Вопрос: ок, спасибо
Ответ:

доступ открыт

файлы отчетов  вида 
AI-BOLIT-REPORT-15-07-2014_10-15-994912.html

лежат в папке каждого сайта

Вопрос: Ок, спасибо большое! Можно менять пароли?
Ответ:

да, меняйте пароли, после смены пароле внимательно просмотрите каждый отчет на каждом сайте

Вопрос: ок, спасибо
Ответ:


ok

Вопрос: Здравствуйте. 1. Пароли все поменяла. 2. Я так понимаю, сайты доступны только мне? ЯндексМетрика, роботы Гугла, прочие службы сайтов не видят - к примеру "робот Googlebot не может получить доступ к вашему сайту"
Ответ:

Да, доступ открыт только для вас. Вы просмотрели отчёты по сайтам?

Вопрос: Просмотрела
Ответ:

вы почистили сайты от вирусов?

Вопрос: Отчеты просмотрела, я так поняла скрипт удалил зараженные файлы, папки, из файлов целые куски удалены. Просмотрела файлы, которые в отчеты указаны как подозрительные - это компоненты, модули, плагины, установленные дополнительно (не входят в установочные пакеты). На первый взгляд - все чисто
Ответ:

нет. скрипт ничего не удаляет. это отчеты для анализа. проверьте совпадает ли размер подозрительных файлов с оригиналами дистрибутива. проверка велась с использованием шаблонов стандартных cms, поэтому если помечены ка подозрительные то они и есть подозрительные, скрипт проверки учитывал стандартные файлы

Вопрос: Это я поняла. Я смотрела файловый менеджер в начале проверки и по окончании - нет лишних файлов. В файлах (повторюсь) удалены целые куски (визуально видно пустые места в кодах). Сравнивала с cms файлы и папки - размеры совпадают. К примеру подозрительный файл ./www/rndregion.ru/libraries/phpmailer/config.php - сейчас его нет итд
Ответ:

вы приняли меры дополднительной защиты сайтов? обновления движка, установка модулей безопасности? удаление проблемных модулей (JCE для joomla)

Вопрос: движки у меня обновленные, jce удалила
Ответ:

на сайтах с wordpress защитите админку сайта при помощи плагинов защиты или .htaccess с разрешением доступа для одного ip

Ответ:

мы открыли доступ к сайтам, но выключили почтвый сервер. понаблюдаем будет ли повторное заражение

Вопрос: ок. админки wp закрыла по ip
Ответ:


ok

Вопрос: спасибо огромное!
Ответ:

пожалуйста уделите больше внимания бехопасности сайтов

Вопрос: ок, занимаюсь
Ответ:


ok

Вопрос: во всех админках джумлы не работает установить/удалить компоненты
Ответ:

проверьте верно ли указан в конфигурационном файле путь к папке tmp

Вопрос: '/var/www/p143799/data/www/firstbeach.ru/tmp' Новые компоненты устанавливаются - значит путь таки верный, а на удалении виснет, выдает ошибку Warning: opendir(/var/www/p143799/data/www/beachotel.ru/administrator/components/com_weblinks) [function.opendir]: failed to open dir: Permission denied in /var/www/p143799/data/www/beachotel.ru/libraries/joomla/filesystem/folder.php on line 423 Warning: readdir() expects parameter 1 to be resource, boolean given in /var/www/p143799/data/www/beachotel.ru/libraries/joomla/filesystem/folder.php on line 424 Warning: readdir() expects parameter 1 to be resource, boolean given in /var/www/p143799/data/www/beachotel.ru/libraries/joomla/filesystem/folder.php on line 424 Warning: readdir() expects parameter 1 to be resource, boolean given in /var/www/p143799/data/www/beachotel.ru/libraries/joomla/filesystem/folder.php on line 424 Warning: readdir() expects parameter 1 to be resource, boolean given in /var/www/p143799/data/www/beachotel.ru/libraries/joomla/filesystem/folder.php on line 424 Warning: readdir() expects parameter 1 to be resource, boolean given in /var/www/p143799/data/www/beachotel.ru/libraries/joomla/filesystem/folder.php on line 424 Warning: readdir() expects parameter 1 to be resource, boolean given in /var/www/p143799/data/www/beachotel.ru/libraries/joomla/filesystem/folder.php on line 424 Забросила файл из пакета установки - все равно не работает
Ответ:

какие стоят права у этих папок7

Вопрос: 755
Ответ:

на com_weblinks у вас стоят права 000, там были вирусы. вы хотите удалить этот компонент? этоправильно, удаляйте

Вопрос: ну да, хочу избавиться от всего, что не пользую
Ответ:


Проверьте пожалуйста сейчас.

Вопрос: ок, сейчас работает, спасибо
Ответ:


ok

Вопрос: если возможно, откройте, пожалуйста, доступ turmarkett@turmarkett.ru
Ответ:

уточните . какой доступ?

Вопрос: почта сейчас не работает, вы писали "выключили почтвый сервер"
Ответ:

что бы работала почта вроде turmarkett@turmarkett.ru можно прикрепить ваш домен к серверу почты яндекса. так ваша почта не будет зависить от сервера. мы можем внести необходмые изменения в домене, а вам нужно зарегистрироваться на яндексе

http://help.yandex.ru/pdd/add-domain/add-exist.xml


<< Назад