Вопрос: |
Здравствуйте!
Недоступны сайты
http://*.*.*/
http://*.*/
http://*.*.*/
http://*.*/
http://*.*/
http://*.*/
и тд |
Ответ: |
Здравствуйте. вам высылалось уведомление о рассылке спама с вашего сервера. сервер заблокирован до выяснения |
Ответ: |
spam or abuse from scomp@aol.net.
This is an information email only and does not require any further action on your part. It is your choice whether or not to investigate the complaint. We do not expect any response.
The following hint should assist you to evaluate the submitted information from AOL so you can determine which AOL email address caused the complaint:
In the complaint email from AOL you will find a message ID and a timestamp. These two pieces of information enable you to find the AOL mailbox in the mailserver logfiles which caused the complaint.
Important note: When you reply to us, please leave the abuse ID [AbuseID:**E***:**] unchanged in the subject line.
Best regards,
Hetzner-Support
Hetzner Online AG Industriestr. ** ***** Gunzenhausen Tel: +** (****) ***-* Fax: +** (****) ***-* abuse@hetzner.de www.hetzner.de
Register Court: Registergericht Ansbach, HRB **** Management Board: Dipl. Ing. (FH) Martin Hetzner Chairwoman of the Supervisory Board: Diana Rothhan
----- attachment -----
Return-path: <scomp@aol.net> Envelope-to: abuse@hetzner.de Delivery-date: Mon, ** Jul **** **:**:** +**** Received: from [***.***.***.**] (helo=smr-d**.mx.aol.com) by lms.your-server.de with esmtps (TLSv*:AES***-SHA:***) (Exim *.**) (envelope-from <scomp@aol.net>) id *X*kpx-****BE-Va for abuse@hetzner.de; Mon, ** Jul **** **:**:** +**** Received: from scmp-m***.mail.aol.com (scmp-m***.mail.aol.com [***.**.***.***]) by smr-d**.mx.aol.com (AOL Mail Bouncer) with ESMTP id ***A******** for <abuse@hetzner.de>; Mon, ** Jul **** **:**:** -**** (EDT) Received: from scomp@aol.net by scmp-m***.mail.aol.com; Mon, ** Jul **** **:**:** EDT To: abuse@hetzner.de From: scomp@aol.net Date: Mon, ** Jul **** **:**:** EDT Subject: Email Feedback Report for IP ***.**.***.*** MIME-Version: *.* Content-Type: multipart/report; report-type=feedback-report; boundary="boundary-****-*****-*******-*****" X-AOL-INRLY: static.244.***.**.***.clients.your-server.de [***.**.***.***] scmp-m*** X-Loop: scomp X-Virus-Scanned: Clear (ClamAV *.**.*/*****/Mon Jul ** **:**:** ****) X-Spam-Score: *.* (++) Delivered-To: he*-abuse@hetzner.de
--boundary-****-*****-*******-***** Content-Type: text/plain; charset="US-ASCII" Content-Transfer-Encoding: *bit
This is an email abuse report for an email message with the message-id of **B**BCF****BEA*****FD*FC*B*C***@firstbeach.ru received from IP address ***.**.***.*** on Mon, ** Jul **** **:**:** -**** (EDT)
For information, please review the top portion of the following page: http://postmaster.aol.com/Postmaster.FeedbackLoop.php
For information about AOL E-mail guidelines, please see http://postmaster.aol.com/Postmaster.Guidelines.php
If you would like to cancel or change the configuration for your FBL please use the tool located at: http://postmaster.aol.com/SupportRequest.FBL.php
--boundary-****-*****-*******-***** Content-Disposition: inline Content-Type: message/feedback-report
Feedback-Type: abuse User-Agent: AOL SComp Version: *.* Received-Date: Mon, ** Jul **** **:**:** -**** (EDT) Source-IP: ***.**.***.*** Reported-Domain: static.244.***.**.***.clients.your-server.de Redacted-Address: redacted Redacted-Address: redacted@
--boundary-****-*****-*******-***** Content-Type: message/rfc*** Content-Disposition: inline
Return-Path: <anthonyurdaz@gmail.com> Received: from vps.gipermarkett.ru (static.244.***.**.***.clients.your-server.de [***.**.***.***]) (using TLSv* with cipher DHE-RSA-AES***-SHA (***/*** bits)) (No client certificate requested) by mtaig-aac**.mx.aol.com (Internet Inbound) with ESMTPS id B*A*A******** for <redacted@aol.com>; Mon, ** Jul **** **:**:** -**** (EDT) Received: from firstbeach.ru (IGLD-**-***-*-*.inter.net.il [**.***.*.*]) (authenticated bits=*) by vps.gipermarkett.ru (*.**.*/*.**.*/Debian-*.*) with ESMTP id s*E*gKVs******; Mon, ** Jul **** **:**:** +**** Message-ID: <**B**BCF****BEA*****FD*FC*B*C***@firstbeach.ru> From: "Anthony Pena" <anthonyurdaz@gmail.com> To: redacted@aol.com redacted@gmail.com redacted@gmail.com redacted@hotmail.co.uk Subject: =?ISO-****-*?Q?Anthony_Pena_-_*=*F**=*F****_*=*A**=*A**_?= =?ISO-****-*?Q?AM?= Date: Sun, ** Jul **** **:**:** +**** MIME-Version: *.* Content-Type: multipart/alternative; boundary="----=_NextPart_***_CBF*_**C*AB**.**CB*D*F" X-Priority: * X-MSMail-Priority: Normal Importance: Normal X-Mailer: Microsoft Windows Live Mail **.*.****.*** X-MIMEOLE: Produced By Microsoft MimeOLE V**.*.****.*** x-aol-global-disposition: S X-AOL-SCOLL-DMARC: mtaig-aac**.mx.aol.com ; domain : gmail.com ; policy : none ; result : F Authentication-Results: mx.aol.com; spf=softfail (aol.com: the domain gmail.com reports ***.**.***.*** should not be sending mail using it's domain name, but is not forbidden from doing so.) smtp.mailfrom=gmail.com; dmarc=fail (aol.com: the domain gmail.com reports that Neither SPF nor DKIM align.) header.from=gmail.com; X-AOL-REROUTE: YES x-aol-sid: ****ac*b******c**e*****b X-AOL-IP: ***.**.***.*** X-AOL-SPF: domain : gmail.com SPF : softfail
This is a multi-part message in MIME format.
------=_NextPart_***_CBF*_**C*AB**.**CB*D*F Content-Type: text/plain; charset=ISO-****-* Content-Transfer-Encoding: quoted-printable
http://muratcelik.biz/bmd/lxmcfzhwyodriibpktwusqjxbbf.dmdngkkecgj ------=_NextPart_***_CBF*_**C*AB**.**CB*D*F Content-Type: text/html; charset=UTF-* Content-Transfer-Encoding: quoted-printable
=EF=BB=BF<HTML><HEAD><META http-equiv=*D"content-type" content: text/html;= charset= =*DUTF-*></HEAD><BODY>http://muratcelik.biz/bmd/lxmcfzhwyodriibpktwusqjxbbf.dm= dngkkecgj</BODY></HTML>
------=_NextPart_***_CBF*_**C*AB**.**CB*D*F--
--boundary-****-*****-*******-*****--тредактировано: **-**-****] |
Вопрос: |
Как долго будет выясняться проблема? |
Ответ: |
проблема будет выясняться пока не будет найден источник спама. источником спама является один из ваших сайтов. т.к. сайтов у вас много то поиск крайне затруднителен. никаких сроков мы дать Вам к сожалению не можем. |
Вопрос: |
Ясно, спасибо |
Ответ: |
ожидайте пожалуйста, вашей проблемой занимаются. просьба вспомнить есть ли у вас сайты с простыми паролями авторизации администратора сайта? |
Вопрос: |
Все пароли типа
*****!@#
*****
***
Логины - названия доменов |
Ответ: |
/www/kmvsanatorii.ru/tmp/index.php Virus found PHP/BackDoor ./www/kmvsanatorii.ru/libraries/phpmailer/config.php Trojan horse BackDoor.Generic_c.AAEK это пока что нашел антиврус, и еще не все проверено |
Вопрос: |
Ок, жду указаний к действию |
Ответ: |
откуда у вас этот сайт? эти файлы заражены еще в **** году
&*; |
Вопрос: |
*.*? - как обычно - купила домен, сделала сайт. Раньше не было на него жалоб |
Ответ: |
когда он был загружен? |
Ответ: |
вот еще
./*.*phpmailer*.php*.*.* ./*.*phpmailer*.php*.*.* ./*.*.php*PHP* ./*.*phpmailer*.php*.*.* |
Вопрос: |
К вам он со всеми сайтами переехал, на VPS вы меня перенесли в в марте ****, до этого на других тарифах у вас же |
Ответ: |
вирусы обнаружены и на других сайтах |
Ответ: |
./*.*.php*PHP* ./*.*phpmailer*.php*.*.* ./*.*phpmailer*.php*.*.* ./*.*phpmailer*.php*.*.* ./*.*.php*PHP* ./*.*phpmailer*.php*.*.* ./*.*phpmailer*.php*.*.* ./*.*phpmailer*.php*.*.* ./*.*phpmailer*.php*.*.* ./*.*phpmailer*.php*.*.* ./*.*.php*PHP* ./*.*phpmailer*.php*.*.* |
Вопрос: |
чуть больше месяца назад все зараженные файла и паки-вирусы с сайтов удалила, все пароли поменяла, и опять :-( |
Вопрос: |
Сейчас что нужно делать? |
Ответ: |
&*;
сейчас все еще идет работа антивируса |
Вопрос: |
Я так понимаю все домены *-го уровня заражены, сделанные на joomla. этих файлов в пакете джумлы нет |
Ответ: |
похоже что у вас все домены заражены |
Вопрос: |
может и так :-( |
Ответ: |
вот чт нашел антивирус
|
Ответ: |
т.к. заражены почти все сайты, они все нуждаются в более тщательной проверке. выполние ее скриптами http://www.revisium.com/ai/ |
Ответ: |
мы запустили проверку каждого сайта |
Вопрос: |
Ок, спасибо. От меня требуются какие-то действия? |
Ответ: |
да, после работы айболита, вам нужно будет сменить все пароли на всех сайта, и провести анализ полученого результата сканирования. мы скажем вам когда закончится сканирование всех сайтов |
Вопрос: |
Ок, спасибо |
Ответ: |
проанализировано * сайтов |
Вопрос: |
ок, спасибо |
Ответ: |
** сайтов проверено |
Ответ: |
** сайтов провреено |
Вопрос: |
ок |
Вопрос: |
нелегкая у айболита работа :-( |
Ответ: |
проверено ** сайтов |
Ответ: |
сообщите пожалуйста ip с котрого вы будете работат. мы откроем вам доступ |
Вопрос: |
**.***.***.***
|
Ответ: |
ожидайте пожалуйста, сейчас вам будет предоставлен доступ |
Вопрос: |
ок, спасибо |
Ответ: |
доступ открыт
файлы отчетов вида AI-BOLIT-REPORT-**-**-****_**-**-******.html
лежат в папке каждого сайта |
Вопрос: |
Ок, спасибо большое! Можно менять пароли? |
Ответ: |
да, меняйте пароли, после смены пароле внимательно просмотрите каждый отчет на каждом сайте |
Вопрос: |
ок, спасибо |
Ответ: |
ok
|
Вопрос: |
Здравствуйте.
*. Пароли все поменяла.
*. Я так понимаю, сайты доступны только мне? ЯндексМетрика, роботы Гугла, прочие службы сайтов не видят - к примеру "робот Googlebot не может получить доступ к вашему сайту" |
Ответ: |
Да, доступ открыт только для вас. Вы просмотрели отчёты по сайтам? |
Вопрос: |
Просмотрела |
Ответ: |
вы почистили сайты от вирусов? |
Вопрос: |
Отчеты просмотрела, я так поняла скрипт удалил зараженные файлы, папки, из файлов целые куски удалены. Просмотрела файлы, которые в отчеты указаны как подозрительные - это компоненты, модули, плагины, установленные дополнительно (не входят в установочные пакеты). На первый взгляд - все чисто |
Ответ: |
нет. скрипт ничего не удаляет. это отчеты для анализа. проверьте совпадает ли размер подозрительных файлов с оригиналами дистрибутива. проверка велась с использованием шаблонов стандартных cms, поэтому если помечены ка подозрительные то они и есть подозрительные, скрипт проверки учитывал стандартные файлы |
Вопрос: |
Это я поняла. Я смотрела файловый менеджер в начале проверки и по окончании - нет лишних файлов. В файлах (повторюсь) удалены целые куски (визуально видно пустые места в кодах). Сравнивала с cms файлы и папки - размеры совпадают. К примеру подозрительный файл ./*.*phpmailer*.php - сейчас его нет итд |
Ответ: |
вы приняли меры дополднительной защиты сайтов? обновления движка, установка модулей безопасности? удаление проблемных модулей (JCE для joomla) |
Вопрос: |
движки у меня обновленные, * удалила |
Ответ: |
на сайтах с wordpress защитите админку сайта при помощи плагинов защиты или .htaccess с разрешением доступа для одного ip |
Ответ: |
мы открыли доступ к сайтам, но выключили почтвый сервер. понаблюдаем будет ли повторное заражение |
Вопрос: |
ок. админки wp закрыла по ip |
Ответ: |
ok
|
Вопрос: |
спасибо огромное! |
Ответ: |
пожалуйста уделите больше внимания бехопасности сайтов |
Вопрос: |
ок, занимаюсь |
Ответ: |
ok
|
Вопрос: |
во всех админках джумлы не работает установить/удалить компоненты |
Ответ: |
проверьте верно ли указан в конфигурационном файле путь к папке tmp |
Вопрос: |
'/*******/*.*'
Новые компоненты устанавливаются - значит путь таки верный, а на удалении виснет, выдает ошибку
*: *******/*.*administrator*.*]: *: *******/*.*joomla*.php* ***
*: * * *******/*.*joomla*.php* ***
*: * * *******/*.*joomla*.php* ***
*: * * *******/*.*joomla*.php* ***
*: * * *******/*.*joomla*.php* ***
*: * * *******/*.*joomla*.php* ***
*: * * *******/*.*joomla*.php* ***
Забросила файл из пакета установки - все равно не работает |
Ответ: |
какие стоят права у этих папок* |
Вопрос: |
*** |
Ответ: |
на com_weblinks у вас стоят права ***, там были вирусы. вы хотите удалить этот компонент? этоправильно, удаляйте |
Вопрос: |
ну да, хочу избавиться от всего, что не пользую |
Ответ: |
Проверьте пожалуйста сейчас.
|
Вопрос: |
ок, сейчас работает, спасибо |
Ответ: |
ok
|
Вопрос: |
если возможно, откройте, пожалуйста, доступ *.* |
Ответ: |
уточните . какой доступ? |
Вопрос: |
почта сейчас не работает, вы писали "выключили почтвый сервер" |
Ответ: |
что бы работала почта вроде turmarkett@turmarkett.ru можно прикрепить ваш домен к серверу почты яндекса. так ваша почта не будет зависить от сервера. мы можем внести необходмые изменения в домене, а вам нужно зарегистрироваться на яндексе
http://*.yandex.*domain*.* |