Варианты решения Ваших вопросов

  хостинг
<< Назад       Account suspended

Вопрос: Доброго дня. Аккаунт приостановлен. А причина? а письмо на почту?
Ответ:

Здравствуйте. аккаунт заблокирован за рассылку спама. антивирус обнаружил на вашем аккаунте много интересного. Это следствие уязвимости компонентов движка вашего сайта

/home/remixoff/public_html/images/stories/gif.php: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i4231mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i9744mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i1693mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i3367mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i6165mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i9680mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i1443mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i3958mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i6804mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i2872mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/im6713n5g.php.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/gif1.php: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i3276mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/i7828mg.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.php.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.php.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.php.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.php_copy.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.php.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.php: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.php.jpg.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/im6713n5g.php.jpg.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.php.jpg.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/cache/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/upload/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/tmp/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/cache/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/tmp/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/cache/im6713n5g.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/images.php: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/im5281n1g.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/im3960n9g.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/im4186n0g.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/cache/im6951n0g.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/im1527n7g.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/im9799n5g.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/im6887n7g.gif: PHP.Hide FOUND
/home/remixoff/public_html/cache/im3428n4g.gif: PHP.Hide FOUND
/home/remixoff/public_html/cache/im3409n0g.gif: PHP.Hide FOUND
/home/remixoff/public_html/cache/im3789n7g.gif: PHP.Hide FOUND
/home/remixoff/public_html/im7356n8g.gif: PHP.Hide FOUND
/home/remixoff/public_html/im8477n1g.gif: PHP.Hide FOUND
/home/remixoff/public_html/im6579n3g.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/img916m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/images/stories/img102m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/images/stories/im2201n7g.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/img660m.php.gif: PHP.Hide FOUND
/home/remixoff/public_html/cache/img988m.php.gif: PHP.Hide FOUND
/home/remixoff/public_html/cache/img639m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/cache/img421m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/cache/im9349n4g.gif: PHP.Hide FOUND
/home/remixoff/public_html/img671m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/img685m.php.gif: PHP.Hide FOUND
/home/remixoff/public_html/im5989n1g.gif: PHP.Hide FOUND
/home/remixoff/public_html/img407m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/images/stories/img800m.php.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/img828m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/images/stories/img303m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/images/stories/img374m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/cache/img634m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/cache/img965m.php.gif: PHP.Hide FOUND
/home/remixoff/public_html/img798m.php.gif: PHP.Hide FOUND
/home/remixoff/public_html/img843m.php.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/images/stories/imlt32r.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/cache/imlt32r.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/imlt32r.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/images/stories/imlt32r.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/cache/imlt32r.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/imlt32r.gif: Trojan.PHP-43 FOUND
/home/remixoff/public_html/cache/imlt21r.gif: PHP.Hide FOUND
/home/remixoff/public_html/imlt21r.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/imlt21r.gif: PHP.Hide FOUND
/home/remixoff/public_html/cache/images.php: PHP.Hide FOUND
/home/remixoff/public_html/cache/imlt21r.gif: PHP.Hide FOUND
/home/remixoff/public_html/imlt21r.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/imlt21r.gif: PHP.Hide FOUND
/home/remixoff/public_html/images/stories/im7779n.php.jpg: PHP.Hide-1 FOUND
/home/remixoff/public_html/images/stories/gif.php: PHP.Hide FOUND

Вопрос: Непонятно две вещи: 1. почему при блокировке я не был оповещен? сайт два дня, как лежит... не критично, конечно, но неприятно... и 2. почему заблокирован FTP? я даже почистить не могу теперь, хотя попробую зайти через веб-интерфейс... хотелось бы порешать эти моменты...
Вопрос: так... через веб-интерфейс не заходится... почистите, пожалуйста, приведенный список, и откройте аккаунт - я покопаюсь на предмет других "неожиданных" файлов.. )))) буду рад ссылочке на джумлу с прикрытой уязвимостью )
Ответ:

1. сообщение высылалось на ящик указаный в профиле. ящик EMAIL актуален?

2. сообщите ip с котрого вы будете работать, мы откреом вам доступ

Вопрос: да, и еще... возможно, совпадение, но лично я сомневаюсь ))) как раз пару дней назад проверял сайт на уязвимость по ссылочке, присланной компанией eHost. письмо цитирую: Уважаемые клиенты, обнаружена серьезная уязвимость в CMS Wordpress, которая позволяет использовать ваши сайты для DDoS атак и создает существенную нагрузку на наши серверы. Убедительно просим принять меры по устранению данной проблемы. Подробнее о проблеме можно почитать тут: http://habrahabr.ru/post/215543/, проверить свой сайт можно тут: http://labs.sucuri.net/?is-my-wordpress-ddosing. есть подозрение в причастности данного сервиса. Заголовки этого письма: Delivered-To: EMAIL Received: by IP with SMTP id l65csp47439ykf; Thu, 13 Mar 2014 03:43:26 -0700 (PDT) X-Received: by IP with SMTP id z1mr1270676eel.97.1394707405844; Thu, 13 Mar 2014 03:43:25 -0700 (PDT) Return-Path: Received: from mail.ehost.by (mail.ehost.by. [IP]) by mx.google.com with ESMTP id z42si3603547eel.212.2IP.43.25 for ; Thu, 13 Mar 2014 03:43:25 -0700 (PDT) Received-SPF: pass (google.com: domain of EMAIL designates IP as permitted sender) client-ip=IP; Authentication-Results: mx.google.com; spf=pass (google.com: domain of EMAIL designates IP as permitted sender) smtp.mail=EMAIL Received: from my.ehost.by (unknown [IP]) by mail.ehost.by (Postfix) with ESMTP id CFF5F14A80D for ; Thu, 13 Mar 2014 12:43:24 +0200 (EET) Date: Thu, 13 Mar 2014 12:43:24 +0200 To: =?utf-8?B?0JDQu9C10LrRgdC10Lkg0JPQu9C10LHQuNC6?= From: "eHost.by" Subject: =?utf-8?B?0KPRj9C30LLQuNC80L7RgdGC0YwgV29yZHByZXNzIQ==?= Message-ID: X-Priority: 3 X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net) MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="b1_c69738b5509c190b6de1a41733124be4"
Вопрос: ящик актуален, но письма нет (((( ip: IP
Ответ:

доступ вам открыт

Ответ:

мы высалали вам список найденых у вас вирусов на ящик EMAIL письмо дошло?

Вопрос: это дошло, но почему-то упало в "спам", хотя "ответ на ваш тикет" - приходят нормально во входящие... но и в спаме нет предупреждения... (((
Вопрос: "Ошибка в сети при отправке запроса логина. Пожалуйста, попробуйте еще раз. Если это состояние не проходит, обратитесь к поставщику услуг сети." К чему бы это?
Ответ:

проверьте может прежднее наше сообщение так же оказалось в "спаме" и вы его удалили, там тоже был этот список.

Вопрос: нет, я не чищу спам... и даже почитываю изредка, потому как туда, порой, падают вовсе не спамные сообщения. Первое письмо в спаме датировано 11-м февраля... - похоже, датой автоочистки гугла... очень похоже на то, что это сообщение не приходило вовсе... ((((
Ответ:

Мы всегда высылаем уведомления. Какой смысл блокировать аккаунт клиента без его уведомления? Причем восновном сперва идет уведомление а потом блокировка , если сиуация критическая. Спам с аккаунта к сожалению критическая ситуация негр=ативно влияющая на репутацию с ip сервера

Вопрос: да это я, как раз, понимаю.... в случае спама можно и блокировать сразу... спам-базы шутить не любят... я вот еще чего не понимаю: я указанных файлов не вижу (((( я бы предположил, что они доступны через MOD_REWRITE, но ссылки-то файловые...
Вопрос: да, и... я так понимаю, что джумлу мне лучше сменить? подскажете, на что?
Ответ:

Joomla лучше WordPress вы можете попробывать DLE, но она платная.

Вопрос: Но она, явно, уязвима. Свеженькие версии, надеюсь, уже не страдают этим? И, как я понимаю, файлы Вы почистили самостоятельно? акк можно разблокировать?
Ответ:

Что вы сделали для устранения проблемы?

Вопрос: для начала отключил сайт на уровне Joomla. предположительно, это отключило потенциально опасные его части, и не пускает на сайт без админской авторизации. и не дождался от Вас ответа на вопросы, куда же подевались перечисленные файлы!!! ИХ НЕТ!!!
Ответ:

Мы их удалили. Зачем их хранить? Вам нужно сменить все пароли и проверить свой компъютер на вирусы.

Вопрос: Пароли сменил, комп на вирусы проверяется в реальном времени регулярно обновляемой официальной базой ESET.
Ответ:

Доступ открыт.

Вопрос: спс. джумлу нашел, завтра попробую поставить )
Ответ:


ok

Вопрос: Ребят, вы издеваетесь, или в сети хостеры кончились? Включите аккаунт, и проверьте свой антивирус. Снова блокировка, и снова ни единого письма.
Вопрос: А пока Вы не торопитесь отвечать, расскажите заодно: почему блокирована cpanel и ftp? для решения проблемы достаточно отключить vhost, и дать мне возможность хотя бы видеть проблему. Ситуация сильно наводит на мысль, что никакой уязвимости использовано не было, а проблема - результат некорректной работы Вашего ПО.
Вопрос: мдя.... саппорт сильно испортился... ((( Ладно, я спать... очень жду либо разблокировки, либо внятных объяснений причин блокировки. Хоть как-то коррелирующих с реальным положением вещей...
Ответ:

антивирус не при чем. на вас поступила жалоба, жалоба вам высылалась, вы ничего не сделали

(for full uri, please scroll to the right end ... 

This information has been generated out of our comprehensive real time database, tracking worldwide portals URI's

If your review this list of offending site, please do this carefully, pay attention for redirects also!
Also, please consider this particular machines may have a root kit installed !
So simply deleting some files or dirs or disabling cgi may not really solve the issue !

Advice: The appearance of a Virus Site on a server means that
someone intruded into the system. The server's owner should
disconnect and not return the system into service until an
audit is performed to ensure no data was lost, that all OS and
internet software is up to date with the latest security fixes,
and that any backdoors and other exploits left by the intruders
are closed. Logs should be preserved and analyzed and, perhaps,
the appropriate law enforcement agencies notified.

DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY
PROBLEM, THEY WILL BE BACK!

You may forward my information to law enforcement, CERTs,
other responsible admins, or similar agencies.

+-----------------------------------------------------------------------------------------------

|date |id |virusname |ip |domain |Url|
+-----------------------------------------------------------------------------------------------
|2014-03-12 00:00:05 CET |3073660 |defaced_site |IP |remixoff.ru |http://remixoff.ru/ganteng.gif

Файлы хакера как были так и остались на вашем аккаунте. Как вы проверяли сайт?  Вопрос, что и как вы проверяли? файлы у вас с 12го марта еще!

Вопрос: я заходил и через FTP и через файл-менеджер. Ни единого файла из списка не было!
Ответ:

не может такого быть, файлы хакера у вас с 12го числа и их никто не трогал

/home/remixoff/public_html]# stat ganteng.php
File: `ganteng.php'
Size: 758 Blocks: 8 IO Block: 4096 regular file
Device: fd02h/64770d Inode: 46299899 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 1137/remixoff) Gid: ( 1149/remixoff)
Access: 2014-03-20 01:43:22.711996726 +0400
Modify: 2014-03-12 02:51:02.823992449 +0400
Change: 2014-03-12 02:51:02.823992449 +0400

Вопрос: не вижу ответа о необходимости блокирования CPANEL. Может быть, вы прочтете мои сообщения ВНИМАТЕЛЬНО? я не могу проверить это. у меня нет даже служебного доступа!!!
Ответ:

необхотимость вызвана блокированиме полного доступа для хакера, т.к. вы не отвечаете на извещения а мы получаем на ваш сайт жалобы. Сейчас  у вас есть доступ и в панель и ftp

Вопрос: Вы можете прочесть несколькими сообщениями ранее: 23:55 Мы их удалили. Зачем их хранить? Вам нужно сменить все пароли и проверить свой компъютер на вирусы. от Владимир
Ответ:

кого вы удалили? ganteng.php и ganteng.gif? вы их не могли удалять т.к. они были закачаны 12 марта и более не менялись. вы сообщили что полностью проверили сайт а на самом деле этого не сделали, за что мы получили очередную жалобу на сервер от дата центра, мы вам поверили а вы нас просто подставили.

Вопрос: когда я проверял, их не было, как и длинного перечня файлов, который был прислан. И в этом перечне не было ganteng.php. И файла не было. Слова "Мы их удалили" были сказаны мне Владимиром. Вы догадываетесь, что я крайне дезориентирован относительно ситуации? посмотрите перечень присланных файлов. Он в этом тикете на прошлой странице. Очень не хочется думать, что все это - результат неправомерных действий Ваших админов, но пока у меня не наступает ясность относительно происходящего
Ответ:

эти файлы появились 12 го марта, и они там были, а тот длинный перечень как было вам сказано , это список уже удаленных антивирусом файлов. вам нужно было полностью проверить сайт . файлы ganteng.php не определяются антивирусами. как вы проверяли сайт? кстати файлы ganteng так же есть в корне аккаунта, предположительно у хакера есть доступ к ftp, проверьте свой компьютер на вирусы на наличие трояна

Вопрос: Журнал проверки Версия базы данных сигнатур вирусов: 9560 (20140319) Дaтa: 20.03.2014 Время: 9:30:21 Просканированные диски, папки и файлы: Оперативная память Количество просканированных объектов: 890 Количество обнаруженных угроз: 0 Время выполнения: 9:32:05 Общее время проверки: 104 сек. (00:01:44) Это что касается оперативки... проверяю "смарт-скан"....
Ответ:


ok

Вопрос: попробовал скачать весь архив с сайтом - NOD заорал. Т.е. вирусы сайта в базе есть. Сомнительно, что троян мог проскочить на мой комп, если он есть в базе, и реал-тайм скан не выключается. обновление баз ежедневное. Предпринял: 1. Убил сайт полностью. 2. Сменил еще раз пароль. Предлагаю: 1. Включить сайт 2. Создать cron-скрипт, проверяющий появление новых файлов в моей директории. Убивающий эти все новые файлы. Сообщающий об этих убийствах. 3. Посмотреть, что из этого получится. Я готов потерпеть какое-то время без сайта для проведения этих экспериментов. Машину пока трогать не буду, если атака была с моего компа - мы это увидим. Но лично я в этом сомневаюсь. Скрипт прошу написать Вас, потому как просто не имею на это времени - работа...
Вопрос: А, все! нашел! Брутфорс админ-панели джумлы.... ((((
Ответ:

поставьте защиту на админку. загрузите туда .htaccess с директивами

deny from all

allow from Ваш ip

 

удалите компонент JCE, запретите произвольную регистрацию, без подвтерждения. поставьте запрет на изменение файлов конфигурации (права 444 можно поставить только через файловый менеджер панели) . сайт открыт для доступа для вашего ip. по окончанию работ сообщите, откроем доступ для всех

функция mail, извините , будет времнно заблокирована для всех сайтов.

Антивирус регулярно проверяет файлы всех пользователей на сервере

Вопрос: Евгений>удалите компонент JCE кхе.... remixoff>Предпринял: remixoff>1. Убил сайт полностью. ну я правда убил сайт. целиком. сохранил у себя на локали. дойдут руки - подниму обратно... постараюсь учесть уязвимости.... хотя сами понимаете... пока есть люди, которые тратят время на взлом, что-то гарантировать сложно. ЗЫ: передайте, пожалуйста, Владимиру, чтобы впредь он более полно рассказывал о причинах блокировки, особенно после кодовой фразы "письмо не пришло". Проблема могла бы быть снята еще в первый раз...
Вопрос: ЗЗЫ: ключевым для меня стало слово ganteng.php, которое вы процитировали вместе с содержанием жалобы.
Ответ:

у вас было несколько причин блокировки, спам и жалоба на дефейс.

Вопрос: и было бы очень неплохо, чтобы эту инфу не приходилось вытягивать клещами между работой. Список причин, внятное объяснение действий ПО и админов, рекомендации по устранению (опционально) - все это резко повысило бы комфорт при нахождении причин проблемы. А так, моя первая мысль - ну, если Ваш антивирус отработал, то все уже почти в порядке. Т.е. - не было полной картинки ни причин проблемы, ни дальнейших действий хостера. А в такой ситуации, согласитесь, сложно принимать адекватные решения.
Ответ:

антивирус удаляет файлы а не причину их возникновения.

Вопрос: Как показывает практика, еще и не все файлы. Потому было бы очень неплохо иметь адекватную обратную связь с саппортом. Поймите, пожалуйста, что далеко не у всех есть время, чтобы перечитать сотни страниц о всех уязвимостях, атаках, отзывах, и т.п., да еще и постоянно следить за этим, поскольку инфа постоянно обновляется. Поэтому для расследования конкретного случая хорошая обратная связь сильно решает проблему. Очень хочется надеяться, что Вы обратили внимание на тот факт, что письмо о блокировке не пришло дважды. И решите эту проблему...
Ответ:

ящик EMAIL актуален? все извещения высылаются на него

Вопрос: Господи боже ты мой.... такое ощущение, что со стенкой разговариваю. 1. Да, актуален. 2. Извещения о тикетах приходят успешно 3. Сообщения не было. И в спаме не было. И не удалял!!!!!
Ответ:

вам отправлено на этот ящик сейчас тестовое сообщение, со списком вирусов. оно дошло?

Вопрос: Это - дошло ))))) а предупреждения не было.... вот такая-вот странность )))) скриншоты прислать? )))
Ответ:

нет, скриншоты не нужны

Вопрос: Доброго дня. Все, можно разблокировать. Угрозу устранил принципиально строчкой .htaccess Redirect 301 / http://home.remixoff.ru/ Ваш IP не пострадает боле!
Ответ:

доступ открыт


<< Назад