Варианты решения Ваших вопросов

  хостинг
<< Назад       Не работает сайт

Вопрос: Доброе утро! Перестали работать сайт и почта!
Ответ:

Здравствуйте. Вам высылалось уведомление о рассылке спама

Return-path: <EMAIL>
Envelope-to: EMAIL
Delivery-date: Sun, 08 Feb 2015 21:45:39 +0100
Received: from [IP] (helo=smr-m4.mx.aol.com)
by lms.your-server.de with esmtps (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.74)
(envelope-from <EMAIL>)
id 1YKYja-0008B8-V6
for EMAIL; Sun, 08 Feb 2015 21:45:39 +0100
Received: from scmp-d010.mail.aol.com (scmp-d010.mail.aol.com [IP])
by smr-m4.mx.aol.com (AOL Mail Bouncer) with ESMTP id 2963238000454
for <EMAIL>; Sun, 8 Feb 2015 15:45:30 -0500 (EST)
Received: from EMAIL by scmp-d010.mail.aol.com; Sun, 08 Feb 2015 15:45:25 EST
To: EMAIL
From: EMAIL
Date: Sun, 08 Feb 2015 15:45:25 EST
Subject: Email Feedback Report for IP IP
MIME-Version: 1.0
Content-Type: multipart/report; report-type=feedback-report;
boundary="boundary-1138-29572-2659438-683"
X-AOL-INRLY: static.IP.clients.your-server.de [IP] scmp-d010
X-Loop: scomp
X-Virus-Scanned: Clear (ClamAV 0.98.1/20046/Sun Feb 8 18:53:21 2015)
X-Spam-Score: 1.6 (+)
Delivered-To: EMAIL

--boundary-1138-29572-2659438-683
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: 7bit

This is an email abuse report for an email message with the message-id of
201502082039.t18KXUVWEMAIL received from IP address
IP on Sun, 8 Feb 2015 15:39:39 -0500 (EST)

For information, please review the top portion of the following page:
http://postmaster.aol.com/Postmaster.FeedbackLoop.php

For information about AOL E-mail guidelines, please see
http://postmaster.aol.com/Postmaster.Guidelines.php

If you would like to cancel or change the configuration for your FBL please use the
tool located at:
http://postmaster.aol.com/SupportRequest.FBL.php


--boundary-1138-29572-2659438-683
Content-Disposition: inline
Content-Type: message/feedback-report

Feedback-Type: abuse
User-Agent: AOL SComp
Version: 0.1
Received-Date: Sun, 8 Feb 2015 15:39:39 -0500 (EST)
Source-IP: IP
Reported-Domain: static.IP.clients.your-server.de
Redacted-Address: redacted
Redacted-Address: redacted@


--boundary-1138-29572-2659438-683
Content-Type: message/rfc822
Content-Disposition: inline

Return-Path: <EMAIL>
Received: from vps.baltsilver.com (static.IP.clients.your-server.de
[IP])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by mtaig-aai06.mx.aol.com (Internet Inbound) with ESMTPS id 8592A70000088
for <redacted>; Sun, 8 Feb 2015 15:39:39 -0500 (EST)
Received: from avaserve-653d78 (199-127-99-4.static.avestadns.com [IP])
(authenticated bits=0)
by vps.baltsilver.com (8.14.3/8.14.3/Debian-9.4) with ESMTP id t18KXUVW029465
for <redacted>; Mon, 9 Feb 2015 00:39:35 +0400
Message-Id: <201502082039.t18KXUVWEMAIL>
Reply-To: "From Admin To You" <EMAIL>
From: "From Admin To You" <EMAIL>
To: EMAIL
Subject: Re Admin
Date: Sun, 8 Feb 2015 12:39:18 -0800
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
x-aol-global-disposition: G
Authentication-Results: mx.aol.com;
spf=none (aol.com: the domain hp.com appears to have no SPF Record.)
smtp.mailfrom=hp.com;
x-aol-sid: 3039ac1b025a54d7c98b5451
X-AOL-IP: IP
X-AOL-SPF: domain : hp.com SPF : none


We offer non-collateral loans ranging from R 30,000.00 Thousand to the tune of R 200
Million between 1-20yrs at low interest rate of 7.5% with no collateral blacklisted
under administration you are welcome.Call our toll free line on 0875502273 extension
101 to speak to a staff from 9am to 5pm E-mail:EMAIL


--boundary-1138-29572-2659438-683--

что Вам известно? эо вы рассылали?

Вопрос: я не понимаю что это
Вопрос: почему не работает сайт???
Вопрос: я установил на все почтовые ящики сложные сгенерированные пароли неделю назад
Ответ:

потаму что с вашего сервера рассылался спам. вы рассылали спам? вы проводите рассылки?

Вопрос: нет и нет
Вопрос: мы почту сейчас перенесем на другой сервер, рас у вас ней постоянные проблемы. восстановите нам работу сайта!
Вопрос: пожалуйста заблокируйте нам почту и разблокируйте сайт
Ответ:

Ожидайте пожалуйста, запрос передан администратору.

Вопрос: когда заработает сайт?! Нам звонят клиенты, не могут зайти
Ответ:

вы начерное не совсем понимаете суть проблемы. От Вас  слался СПАМ !  кто следит за вашими сайтами? кто имеет к ним доступ? кто отвечает за их обновление ? кто работате с почтой?

Вопрос: с почтой работаю только я и один менеджер. с сайтом работает компания которая обслуживает сайт из нас спам точно никто не рассылал
Вопрос: с какого именно ящика слался спам?
Ответ:

не с ящика, а с ваших сайтов. т.к. доступ к сайтам имеют посторонние люди?

Вопрос: посторонние не имеют доступа. Может взломали сервер? что нам дальше делать?
Ответ:

сервер это врядли а вот ваш сайт это уже вероятнее. как давно обновлялись сайты? на каких cms они работают?

Вопрос: Хорошо мы сейчас проверим сайт на предмет лишних скриптов. А как давно рассылается спам и нет ли возможности узнать какими скриптами?
Ответ:

проверяйте, мы со своей стороны тоже его проверяем антивирусами. так же не лишним будет смена абсолютно всех паролей

Вопрос: сейчас будем разбираться
Ответ:


ok

Вопрос: Здравствуйте, мы проверили baltsilver.com и ничего вредоносного не обнаружили. Сейчас проверяем и остальные сайты. На всякий случай мы перенесли все почтовые ящики на ppd.yandex.ru. В течение суток перепишутся MX записи и можно будет вообще заблокировать любую рассылку писем с нашего IP. Поставьте нас в известность если что-то ещё выясните по спам рассылке.
Ответ:

антивирусы ничего не нашли

maldet(10806): {scan} signatures loaded: 13716 (11815 MD5 / 1901 HEX)
maldet(10806): {scan} building file list for ./, this might take awhile...
maldet(10806): {scan} file list completed, found 21123 files...
maldet(10806): {scan} found ClamAV clamscan binary, using as scanner engine...
maldet(10806): {scan} scan of ./ (21123 files) in progress...
maldet(10806): {scan} processing scan results for hits: 0 hits 0 cleaned
maldet(10806): {scan} scan completed on ./: files 21123, malware hits 0, cleaned hits 0
maldet(10806): {scan} scan report saved, to view run: maldet --report 020915-1736.10806

Вопрос: Здравствуйте, не получается задать в панели MX запись для доменного имени baltsilver.com, за сутки она до сих пор не применилась. Это нужно сделать через вас? Необходимые параметры: Имя поддомена — @ Тип записи — MX Данные — mx.yandex.ru. Приоритет — 10
Ответ:

Здравствуйте.

Данная запись у вас указанна.

Вопрос: Здравствуйте. На сайте baltsilver.com сообщение "Account disabled by server administrator.". Вы написали что это изза рассылки спама. Но мы уже перевели всю почту на yandex.ppd, даже если кто-то получил доступ к нашим ящикам, то это не может быть с вашего сервера. Вы можете просто отключить возможность слать письма с нашего хостинга, чтобы вы убедились что мы ничего не шлём?
Ответ:

Ожидайте пожалуйста, запрос передан администратору.

Ответ:

спам слали не с ящиков а при помощи взломаных скриптов. кто занимается безопасностью Вашего сайта?

Вопрос: Мы уже проверяли все скрипты сайта, когда вы отключили сайт в прошлый раз, вредоносного не нашли. Я так понимаю вы не можете сказать сказать какой скрипт совершает рассылку. А можно посмотреть хотя бы период в который это происходило? Если у вас есть информация о том когда высылался спам, то можно по логам посмотреть к каким url адресам сайта обращались и соответственно определить скрипты. В похожей ситуации советуют искать именно POST запросы: http://searchengines.guru/showthread.php?t=485877 Ещё помогло бы если бы вы в файловом менеджере получили список всех .php файлов и отсортировали их по дате модификации и положили сюда либо отправили на EMAIL. Та бы мы знали хотя бы какие скрипты досконально проверить.
Ответ:

вы можете сделать это по ssh при помощи файлового менеджера mc

 

Ответ:

сейчас мы проверяем сервер, вирусов антивирус не нашли, в прошлый раз тоже не все файлы были найдены антивирусом

 

Вопрос: Я сейчас не могу подключиться даже по ФТП, кажется закрыт доступ. Можете открыть? Я бы попросил и сайт запустить - клиенты жалуются. Не волнуйтесь, проблему не забросим, будем искать. Если даже не найдём вредоносный скрипт - в итоге сделаем запрет на запуск вообще всех php скриптов, кроме index.php в корне (с помощью .htaccess).
Ответ:

доступ открыт включая доступ к shell / наши антивирусы ничего ен нашли пока

Ответ:

вы удаляли задания планировщика?

Вопрос: Нет, последние месяцы планировщик не редактировали.
Ответ:


ok

Вопрос: Проверили - почти все файлы модифицировались 2014 году. У нас на сайте вызывается только один скрипт - корневой index.php (всё работает через него). Папки в которые можно загружать файлы - в них есть .htaccess с запретом выполнения скриптов (так что если и будет что-то загружено то выполнить это будет нельзя). Единственное место, которое у нас не было блокировки (стоит исключение) - это библиотека CKEditor4 для админки. Возможно в ней как раз всё дело: https://dh.it-patrol.ru/newsletters/%D0%BA%D1%80%D0%B8%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C-%D0%B2-fckeditor-%D0%B8-ckeditor Сейчас мы поставили блокировку и здесь (и вообще где можно). Уж даже и знаем где ещё может быть уязвимость, проверьте пожалуйста продолжается ли рассылаться спам.
Ответ:

пока ничего нет, мы не можем прооверить

Вопрос: Ещё важное - для отправки писем мы используем PHPMailer, поэтому стандартную php функцию mail() можете совсем отключить.
Ответ:

Ожидайте пожалуйста, запрос передан администратору.

Ответ:

проверка антиврусами ничего не ала. sendmail остановлен


<< Назад