| Вопрос: |
Здравствуйте!Пробую войти С-панель. И никак. Вход синхронизирован был. И по паролю не вхожу.А сегодня вдруг еще на почту приходит Информация о Вашем аккаунте (повтор) от вас. Хотя я не запрашивал. Хотел базу почистить, зараза там сидит. |
| Ответ: |
Здравствуйте на вас снова жалоба On ** Dec **:**, cert-soc@lexsi.com wrote:
Hello,<br /><br />We have just identified a fraudulent redirection hosted under your administration that is part of a phishing scheme.<br /><br />As a result, we ask you to proceed with its takedown as soon as possible.<br />The phishing website is located at the following domain: oblteleset.ru<br /><br />and at the following URL: *?r<br /><br />The site responds to the following IP address(es): **.***.*.**<br /><br />The fraudulent content at *?r redirects to a phishing page located at *<br /><br />We have verified that none of these IP addresses belong to CREDIT MUTUEL (*).<br /><br />Please consider reporting any data in your possession which may be related to the reported incident (such as connection logs, suspicious accounts in relation to this fraud...)<br /><br />Thank you to confirm the reception of our request by responding to this email.<br /><br />Thanks for your cooperation.<br /><br />
<br />CERT-LEXSI - Cybercrime department<br />http://cert.lexsi.com<br />cert-soc@lexsi.com<br /><br /><br />CERT-LEXSI is a CSIRT team recognized by Enisa that conducts cybercrime monitoring and investigation and works with other CSIRTs and law enforcement agencies.<br />Our mission is to correlate information on phishers and cybercrime gangs to assist legal procedures and lead to arrests.<br />You may be in possession of critical information for investigations:<br />- server files you can send us (we research to find out identities and fraud evidence;<br />- IP addresses used for server administration;<br />- information related to billing (rejected credit card, card owner name, full or partial cc number).
**-**-****]
> [ SpamCop V*.*.* ]
> This message is brief for your comfort. Please use links below for details.
>
> Spamvertised web site:
**?ref=****************************************************************************************
> *w*m?i=z**********z****b*b*f***e*ccc*cf**c****f***az
> **?ref=**************************************************************************************** |
| Вопрос: |
так как войти, чтобы почистить? Кстати, из переписки:**-**-**** | **:**:**Вот увидел в серверах почтыСерверы пересылки*****.*.********.*.*********.*.*Почему то не вижу где их убрать. Помогите пожалуйста**-**-**** | **:**:**Вопрос передан администратору, ожидайте пож.**-**-**** | **:**:**Они по-моему так и не убраны |
| Ответ: |
Ожидайте, пожалуйста |
| Ответ: |
уточниет какие меры бли вами приняты в прошлый раз? это не первая проблема с этим сайтом |
| Вопрос: |
*. сменил пароли входа на хостинг и на управление сайтом *. проверил на то, что было указано в жалобе, в т.ч.:наличие адресов *.*папки *.*/*. проверил на вирусы вашим антивирусом*.попросил вас убрать серверы пересылки, потому что мне их не убрать :*****.*.********.*.*********.*.**. нашел левых пользователей и убрал их, в т.ч их почтовые адреса. все заработалопотом увидел в почте , что с сайтом опять что то не так. пробовал с компа грузить сайт-все нормально и форум тоже, позже попробовал со смартфона, да тут трабла вылезла и переадресовка на какой то сайт. но был тогда в командировке и поэтому ничего не смог предпринять. вот приехал, добрался до компа и ничего не могу сделать.где дыра я не пойму, как вообще можно хакерам залезть на сайт через ваш хост?что еще я должен был сделать?как мне еще раз проверить сайт, если нет доступа?может это доверить вам? |
| Ответ: |
Сайт проверяется. Ожидайте |
| Вопрос: |
опять занесли */ так получается. |
| Вопрос: |
Спасибо, жду. |
| Ответ: |
отчет в корне аккаунта AI-BOLIT-REPORT-__-******-**-**-****_**-**.html |
| Вопрос: |
прошу прощения, так в корень то как зайти без доступа? |
| Ответ: |
Реквизиты доступа высланы на Вашу почту |
| Вопрос: |
Спасибо! |
| Ответ: |
Спасибо за обращение в тех.поддержку. |
| Вопрос: |
Извините, но в панель не зайти и через ФТП тоже |
| Ответ: |
Предоставьте ваш IP, с которого работаете сейчас. Узнать его Вы можете: https://www.empire-host.com/*ip.php |
| Вопрос: |
IP адрес: **.***.**.** |
| Ответ: |
Ожидайте, пожалуйста.. |
| Ответ: |
Доступ для этого ip открыт. Проверьте и займитесь чисткой |
| Вопрос: |
Спасибо!Как я уже писал вися Серверы пересылки*.*********.*.********.*.*****.*.*Надо*.* -оставитьа остальные убрать. Я так понимаю что это только вы можете. |
| Ответ: |
Вы можете удалить их в панели |
| Вопрос: |
Последний вход в с-панель это ваш ip*IP **.***.**.***Хост **-***-**-***.*.*.*Код страны *Страна Флаг Украина (*) Украина (*)Код региона **Регион *'Город *Широта **.**Долгота **.****Почтовый код *дКод района *дПровайдер *Часовой пояс * +**) |
| Ответ: |
да |
| Вопрос: |
а то я решил , что кто то оттуда влезает. ну и хорошо. вообщем почистил вчера вечером, пароли поменял опять. но опять не могу в панель войти. |
| Ответ: |
Проверьте, пожаллуйста, сейчас |
| Вопрос: |
Да вошел, спасибо! а можно ли заблокировать все ip адреса для входа к вам ,за исключением моих двух. Может есть у вас такая фишка, где это я могу сам прописать и например смотреть, кто еще пытался войти с других адресов? или это проблематично, если напр. у меня адрес смениться и каюк, мне не войти никак будет тоже? |
| Вопрос: |
Кстати настроил уведомление на почту, теперь кто входит мне тут же письмо, раньше это было отключено. |
| Ответ: |
к сожалению cpanel такого не поддерживает |
| Вопрос: |
в диспетчере форум наш куда то пропал |
| Ответ: |
Папка forum - находится в папке /public_html |
| Вопрос: |
счас кто-то вошел, хулиганы?IP ***.***.***.**Хост: *.*.*Город: Днепропетровск Страна: UkraineIP диапазон: ***.***.***.* - ***.***.***.****: ***.***.***.*/**Название провайдера: * |
| Ответ: |
Извините, мы немного забыли, что Вас пугаею сторонние входы. Это наш iP. |
| Вопрос: |
Мы можем посмотреть, кто такой panev_logs, я его здесь нашел:Диспетчер пользователейПросмотреть: Представление ссылки*panev_logs |
| Ответ: |
*) panev - Ваша *) panev_logs - системная. Вы же видите путь далее. |
| Вопрос: |
в Диспетчере пользователей пути не вижу. спасибо. я просто ищу, откуда с панели может идти и кому информация о входе в систему. |
| Ответ: |
Перейдите в учётные записи ftp. Там есть путь. |
| Вопрос: |
Здравствуйте!Перелопатил все файлы. Вроде все почистил. Можете включить сайт на тестирование? |
| Ответ: |
Ваша заявка выполнена |
| Вопрос: |
Спасибо! |
| Ответ: |
Спасибо за обращение |
| Вопрос: |
А что то Не удается получить доступ к сайтуНе удается найти * сервера *.*. |
| Ответ: |
Ожидайте, пожалуйста.. |
| Ответ: |
укажите днс ns*.host**.info
ns*.host**.info |
| Вопрос: |
не очень понял где. в свойствах сетевого подключения? |
| Ответ: |
В свойтствах вашего домена у регистратора |
| Вопрос: |
гут, пошел я туда.. |
| Ответ: |
хорошо |
| Вопрос: |
поменял вчера вечеромтеперь:Не удается получить доступ к сайтуСоединение сброшено.*может еще не вступили в силу настройки новые? |
| Ответ: |
Сделайте пожалуйста трассировку к Вашему домену: пуск - выполнить - ввод cmd - в черном окне ввести tracert ВАШ ДОМЕН - после завершения кнопкой мыши выделить - нажить enter - скопировать сюда в тикет
Если Вы испытываете затруднение, просмотрите обучающее видео http://ded****tracert.htm |
| Вопрос: |
я так понимаю, что куда то то не туда * <* мс <* мс <* мс *.* [***.***.*.*] * * * <* мс * * ***.**.***.*** * * * * * * * **.*.*.** * * * * * * * **-**-***-***.*.******.* [**.**.***.***] * ** * ** * ** * **-**-***-**.*.******.* [**.**.***.**] * ** * ** * ** *-****.*.* [***.**.***.**] * ** * ** * ** * ***.*.*.*** * ** * ** * ** * ***.*.**.** * ** * ** * ** *-**-***.*.* [***.*.**.***]** * * * Превышен интервал ожидания для запроса. |
| Ответ: |
нужен начало и конец тарссировки. |
| Вопрос: |
Microsoft Windows XP [Версия *.*.****](С) Корпорация Майкрософт, ****-****.D:\Documents and Settings\User>traceptoblteleset.ru"traceptoblteleset.ru" не является внутренней или внешнейкомандой, исполняемой программой или пакетным файлом.D:\Documents and Settings\User>trasertoblteleset.ru"trasertoblteleset.ru" не является внутренней или внешнейкомандой, исполняемой программой или пакетным файлом.D:\Documents and Settings\User>trasert oblteleset.ru"trasert" не является внутренней или внешнейкомандой, исполняемой программой или пакетным файлом.D:\Documents and Settings\User>*.*Трассировка маршрута к *.* [***.***.***.**]с максимальным числом прыжков **: * <* мс <* мс <* мс *.* [***.***.*.*] * * * <* мс * * ***.**.***.*** * * * * * * * **.*.*.** * * * * * * * **-**-***-***.*.******.* [**.**.** * ** * ** * ** * **-**-***-**.*.******.* [**.**.*** * ** * ** * ** *-****.*.* [***.****] * ** * ** * ** * ***.*.*.*** * ** * ** * ** * ***.*.**.** * ** * ** * ** *-**-***.*.* [***.*.**.***] ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * |
| Ответ: |
Ожидайте, пожалуйста |
| Ответ: |
Проверьте, пожалуйста, сейчас |
| Вопрос: |
тоже самоеитрассаD:\Documents and Settings\User>***.**.***.*"***.**.***.*" не является внутренней или внешнейкомандой, исполняемой программой или пакетным файлом.D:\Documents and Settings\User>*.*Трассировка маршрута к *.* [***.***.***.**]с максимальным числом прыжков **: * <* мс <* мс <* мс *.* [***.***.*.*] * * * <* мс <* мс ***.**.***.*** * * * * * * * **.*.*.** * * * * * * * **-**-***-***.*.******.* [**.**.* * ** * ** * ** * **-**-***-**.*.******.* [**.**.** * ** * ** * ** *-****.*.* [***.***] * ** * ** * ** * ***.*.*.*** * ** * ** * ** * ***.*.**.** * ** * ** * ** *-**-***.*.* [***.*.**.***] ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. ** * * * Превышен интервал ожидания для запроса. |
| Ответ: |
у вас еще не обновились днс |
| Вопрос: |
понял, спасибо! |
| Ответ: |
Спасибо за обращение в тех.поддержку.
|
| Вопрос: |
заработало, спасибо!а как мне отключать сайт на профилактику самому?и ещетрасса такая, это правильно?D:\Documents and Settings\User>*.*Трассировка маршрута к *.* [***.**.***.**]с максимальным числом прыжков **: * <* мс <* мс <* мс *.* [***.***.*.*] * * * * * * * ***.**.***.*** * ** * * * * * **.*.*.** * * * * * * * **-**-***-***.*.******.* [**.**.***.***] * ** * ** * ** * **-**-***-**.*.******.* [**.**.***.**] * ** * ** * ** *-****.*.* [***.**.***.***] * ** * ** * ** * ***.*.*.*** * ** * ** * ** * ***.*.**.** * ** * ** * ** *-**-***.*.* [***.*.**.***] ** ** * ** * ** *.*.*.* [***.**.***.**]Трассировка завершена. |
| Ответ: |
Трасса правильная. Отключать самостоятельно - это зависит от вашей cms. |
| Вопрос: |
ерунда какая токто то вошел?&#****; Успешный вход «*» из неизвестной сетиДомен: *.*: cpaneldLocal*IP*: ***.**.***.***: *****IP*: **.***.**.**: *****: systemUsername: *Известная сеть †: Нет &#****;проверилIP ***.**.***.**Хост: *.*.*.*Город: ТаллинСтрана: EstoniaIP диапазон: ***.**.***.* - ***.**.***.****: ***.**.***.*/**Название провайдера: Не определен |
| Ответ: |
Local IP Address: ***.**.***.** это ваш адрес на сервере Remote IP Address: **.***.**.* это подключение было удаленным. Вы используете удаленный доступ к базе? |
| Вопрос: |
**.***.**.* это мой адреспричем здесь таллин не очень понимаю, сейчас у провайдера спрошу.удаленно не работаю |
| Ответ: |
Ok |
| Вопрос: |
* Новым Годом! Пожелаю в Новом году успешной работы, здоровья и благополучия!кто то добавляет файлики-смотрю по фтп.удаляю.может что лишнее удалил, т.к. браузер пишет"Похоже, в вашей конфигурации PHP отсутствует расширение MySQL, необходимое для работы WordPress."и с компа сайт не открывается.а если со смартфона запустить, то идет переадресация на *.* и *.*есть вопросзашел я в Удаленный MySQL®вижу тамУзлы доступа ***.**.***.** ***.***.**.** ***.**.***.*** **.**.**.*** **.***.**.*** **.***.*.** *.hostven**.*.host**.*какие я могу удалить?германия и Украина |
| Ответ: |
Здравствуйте у вас в public_html очень много вирусных файлов. вы чистили сайт? |
| Вопрос: |
А у вас то есть инфа по этим файлам?Конечно чистил, указанные в жалобе файлы поудалял, но может что и пропустил. Ваш антивирус например ничего не находит.Так что по IP? среди них есть ваши? если нет, то я все удалю. |
| Ответ: |
Вам нужно проанализировать имеющиеся файлы и сравнить есть ли они в исходном варианте. Так же проверить кодна вредоносные вставки |
| Вопрос: |
вот и поудалял по исходнику, что сайт перестал запускаться.буду еще смотреть тогда. |
| Ответ: |
Дождитесь отчета об антивирусной проверке. Проверка уже запущена. Отчет будет предоставлен на ВВашу почту. |
| Вопрос: |
Получил отчет, прочистил все. Теперь на мобиле нет переадресации. но сайт не открывается. что то я грохнул лишку, пока не понял что:"Похоже, в вашей конфигурации PHP отсутствует расширение MySQL, необходимое для работы WordPress." |
| Ответ: |
Здравствуйте какие папки вы удаляли? |
| Вопрос: |
*********.*.********.*.*\.*\.lastlogincc.phphtml.php |
| Ответ: |
в корне акаунта вы удаляли папки? |
| Вопрос: |
Вот что ещев SSL*удалял сертификаты на левые ссылки или как их там назвать:*****.*.*.*.*****.*.*.********.*.*.*.********.*.*.*********.*.*.*.*********.*.*.и вот такая беда, типа сертификат закончился в мае ****г:*.* ** мая **** г..mail.*.*domain.*.*.* ** мая **** г.. |
| Вопрос: |
я так полагаю эти папки левые, на моем образце их нет. из корня удалил.Вот сейчас скачиваю сайт на комп, * рубит столько троянов! их же как то внедрили, должны следы оставаться входа в систему. |
| Ответ: |
не совсем понятно что подразумевается под "следами" если сайт имелуязвимость |
| Вопрос: |
вот и мне не понятнолибо по фтплибо через панельлибо через смсв первых двух случаях наверно остаются логи ip? вот бы посторонних заблокировать. |
| Ответ: |
в **% случаях это делают через сам сайт и его уязвимости ftp ипанель исключены , если у вас пароль не ***** или аналогичный |
| Вопрос: |
наверно надо сертификаты * восстановить? но они грохнулись еще **.**.**, а сайт работал и позже |
| Ответ: |
уточните пожалуйста что такое "сертификаты oblteleset" |
| Вопрос: |
прошу прощения*.*: *SSL* ** мая **** гСрок действия: понедельник, ** мая **** г., **:**:** *Имена домена: *.*.*.* |
| Ответ: |
обновите его в панели https://www.empire-host.com/*cpanel_autossl.html |
| Вопрос: |
Уже, но Управление установленными сайтами SSLFQDNsИстечениесрока действия сертификата mail.*.*.*.*.***.**.** типа истек срок |
| Ответ: |
удалите его и создайте в панели |
| Вопрос: |
спасибо, сделалУправление установленными сайтами SSLИстечениесрока действия сертификата mail.*.*.*.*.***.**.**но пока не помогло открыть сайт, все та же надписьПохоже, в вашей конфигурации PHP отсутствует расширение MySQL, необходимое для работы WordPress.надо искать, что удалил нужное |
| Ответ: |
сохраните файлы и базу, мы переустановим аккаунт |
| Вопрос: |
качаю, долго правда.оставим это дело на завтра.Пока спасибо за помощь. |
| Ответ: |
создайте полный бекап в панели и скачайте одним архивом |
| Вопрос: |
Здравствуйте!Я тут долго отсутствовал. Видел, что вы сайт мне откатили назад. Периодически проверял, работал. А вчера захожу и не работает. Бекап у меня скачан, как вы говорили. |
| Ответ: |
Здравствуйте. пишите, пожалуйста, подробнее Что именно не работает |
| Вопрос: |
Извините, я предположил что его отключили вы.когда заходишь на http://*.*/ в адресе выскакивает http://*.*.* и браузерпишет *.*hosting*. |
| Ответ: |
hostven**.ru это совершенно другой сервер
Сделайте пожалуйста трассировку к Вашему домену: пуск - выполнить - ввод cmd - в черном окне ввести tracert ВАШ ДОМЕН - после завершения кнопкой мыши выделить - нажить enter - скопировать сюда в тикет
Если Вы испытываете затруднение, просмотрите обучающее видео http://ded****tracert.htm |
| Вопрос: |
Трассировка маршрута к *.* [***.**.***.**]с максимальным числом прыжков **: * <* мс <* мс <* мс *.* [***.***.*.*] * * * * * * * ***.**.***.*** * * * * * * * **.*.*.** * * * * * ** * **-**-***-***.*.******.* [**.**.***.** * ** * ** * ** * **-**-***-***.*.******.* [**.**.***.** * * ** * ** * *-*-*-***.**.**.**.* [***.**.*.***] * * * * Превышен интервал ожидания для запроса. * ** * ** * ** * ***.**.***.*** * ** * ** * ** **-*.*.*.*.*.*.* [**.***.***.***] ** ** * ** * ** *.*.* [**.***.***.**] ** ** * ** * ** * ***.*.**.** ** ** * ** * ** *-**-***.*.* [***.*.**.***] ** ** * ** * ** *.*.*.* [***.**.***.**] |
| Вопрос: |
Ерунда какая-то по-моему |
| Ответ: |
Данные доступов оттправлены вам на почтовый адрес ionov****@yandex.ru Проверьте, пожалуйста. |
| Вопрос: |
Спасибо |
| Ответ: |
Спасибо за обращение в техническую поддержку.
|
| Вопрос: |
однако ни по фтп и через с-панель зайти не могу |
| Ответ: |
Здравствуйте. Ваш аккаунт был временно приостановлен по причине рассылки спама. Если спам рассылали не Вы то вероятно Ваш сайт взломан. мы проверим Ваш аккаунт на вирусы и предоставим отчет и полный доступ что бы Вы могли устранить проблему
|
| Ответ: |
сообщите пожалуйста ip с которого Вы будете работать., мы предоставим вам доступ и отчет |
| Вопрос: |
я работаю или с **.***.**.**или с **.***.***.**вобще мне конечно не понятно , где дыра? я поудалял с сайта все, что было прописано в претензии. Пароль сменил не раз. и опять спам лезет. прикол какой то. |
| Ответ: |
Отчет *AI-BOLIT-REPORT-__-******-**-**-****_**-**.html |
| Вопрос: |
принято, спасибо. Откройте , пожалуйста, доступ только мне, буду чистить |
| Ответ: |
доступ Вам открыт |
| Вопрос: |
Здравствуйте. Откройте , пожалуйста, доступ к С-панели, только мне, будем заниматься сайтом. Долго отсутствовал. Спасибо.мои ip **.**.***.*** |
| Ответ: |
Здравствуйте ваш хостинг просрочен на ** дней. у вас нет cpanel , вам нужно оплатить хостинг |
