| Вопрос: |
Аккаунт заблокирован?Оплата есть. Что случилось? В чем причина? |
| Ответ: |
Здравствуйте. с вашего аккаунта рассылался спам спам слался из папки /*****data Time: Mon Mar ** **:**:** **** +****
Path: '/*****data'
Count: *** emails sent
Sample of the first ** emails:
****-**-** **:**:** cwd=/*****data * args: /**sendmail -t -i -fpam_fulton@ascold.kiev.ua
****-**-** **:**:** cwd=/*****data * args: /**sendmail -t -i -fpam_fulton@ascold.kiev.ua
****-**-** **:**:** cwd=/*****data * args: /**sendmail -t -i -fpam_fulton@ascold.kiev.ua
****-**-** **:**:** cwd=/*****data * args: /**sendmail -t -i -fpam_fulton@ascold.kiev.ua
****-**-** **:**:** cwd=/*****data * args: /**sendmail -t -i -fpam_fulton@ascold.kiev.ua
****-**-** **:**:** cwd=/*****data * args: /**sendmail -t -i -fpam_fulton@ascold.kiev.ua
****-**-** **:**:** cwd=/*****data * args: /**sendmail -t -i -fpam_fulton@ascold.kiev.ua
****-**-** **:**:** cwd=/*****data * args: /**sendmail -t -i -fpam_fulton@ascold.kiev.ua
****-**-** **:**:** cwd=/*****data * args: /**sendmail -t -i -fpam_fulton@ascold.kiev.ua
****-**-** **:**:** cwd=/*****data * args: /**sendmail -t -i -fpam_fulton@ascold.kiev.ua Вам высылалось уведомление. сообщите ip с которого вы будете работаь над решением проблемы |
| Вопрос: |
***.**.***.**Спасибо, буду разбираться. |
| Ответ: |
доступ открыт |
| Вопрос: |
вчера ставил модуль на опенкарт. и скорее всего в нем был вирусняк. сейчас полностью снес сайт принтипрес и копирую последний бекап(тот что без вируса). |
| Ответ: |
ok
|
| Ответ: |
и смените все пароли |
| Вопрос: |
уже)хитрый вирус, следов не оставлял... надеюсь что в другие сайты не полезла эта падла. еще раз спасибо =) |
| Ответ: |
проверьте все сайты |
| Вопрос: |
Все проверенно. Вирусов быть недолжно. Скажите, отправка почты у нас временно заблокирована? |
| Ответ: |
заблокирована только функция mail , smtp Вам доступна |
| Вопрос: |
а как долго функция будет заблокирована? просто у нас на сайте есть форма обратной связи и при заказе товара тоже почта ходит...хотелось бы знать на сколько блок стоит? и можно ли его побыстрее снять? |
| Ответ: |
на каком движке Ваш сайт? |
| Вопрос: |
Drupal. + самодельная форма обратного звонка которая работает через почтовик(для нас)*(оповещение о новом заказе через почту)как я понял снять ограничение вы не можете? |
| Ответ: |
можем но вы сейчас на каратнтине. у вашего движка есть модули работающие через smtp? |
| Вопрос: |
Нету модулей. спасибо ребята за ваш карантин. Без предупреждения выключаете. а мы клиентов теряем.Вместо того что-бы нормально помочь в решении проблемы(первый раз вирус был пойман на моем опыте)....Проще всего отключить и фиг с ним.Когда снимется карантин?Пока отключена функция mail вы контролируете (отслеживаете) попытки исходящих запросов? |
| Ответ: |
т.е. Вы обвиняете нас в том что Вы не следите за собственным сайтом? следить за сайтом, актуальностью его скриптов, читотой устанавливаемых плагинов и тем обязаность администратора сайта. из за рассылки спама ip сервера попадает в черный список почтовых систем и ваша почта не попадет никуда, потаму что все почтовые системы будут воспринимать почту с сервера как спам, не только Вашу. а всех акаунттов и сайтов на серверее, несколько сотен клиентов пострадают из за Вас и они так же будут терять клиентов, опять же из а Вас. поэтому вместо обвинений, простьа тщательно проверить сайт, т.е. по опыту, сайт зараженный один раз , будет обязательно заражен повторно. Вам будет оказана требуемая помощь, поиск по файлам, проверка антивирусами . Вы ведь не нашли причину, не устранили проблему, значит возможно ее появление поаторно, поэтому и карантин |
| Вопрос: |
Я не нашел причину? я не устранил?я же вам сказал причину! был установлен зараженный плагин. я его удалил, сайт полностью удалил и залил чистый, с бекапа! все старое было снесено! сделал это в тот же момент как вы разблокировали сайт! и я это НАПИСАЛ! А еще все пароли поменял! Вы могли меня предупредить о том что не весь функционал хостинга работает? вы могли предупредить что мы находимся на карантине? Вы просили мой айпи и я думал что вы дали доступ только мне. после того как я все залил и сдела, просил знакомых зайти на сайт и все работало. Да , от вирусов и злоумышленников никто не застрахован. Но , предупредить обовсем что выше можно? Ведь так? я днями и ночами не сплю, делаю все на сайте что-бы работало. Попался вирус. да вина моя. но про карантин можно что-то сказать? я как дибил блядь сижу и дуплю почему на сайт заходы есть, даже растут, а звонков и заказов нет. Если бы не яндекс вебвизор я бы еще хрен когда догадался бы что почта не пашет. |
| Ответ: |
Вы уверены что причина была в плагине? |
| Вопрос: |
иной причины быть не может.****-**-** **:**:** *public_html*.*.*image* * *: /*sendmail*.*.*я на принтипрес ставил плагин.Больше его никто не трогал. Вывод? Бесплатный плагин с кучей наворотов(и кстати рабочий, он свое дело делал на ура). вирус был там **.***%Если у вас нет мониторинга попыток запроса то этот *.***% мы с вами не узнаем пока вам не "захочется" включить почту. |
| Ответ: |
у нас регулярно проверяются сервера антивирусом, и мы легко сможем узнать вроятность спама по появлению вируснрго скрипта на сайте, не подвергая опасности занесения ip сервера в спам список. /*****data - это папка плагина? |
| Вопрос: |
http://*.******-**/**/***.*вот вид плагина(он ставиться на весь движок).В той папке *дата вобще небыло никаких скриптов позавчера. |
| Ответ: |
конечно небыло, антивирус удалил его. |
| Ответ: |
проверьте сайт при помощи ** |
| Вопрос: |
*** * |
| Ответ: |
мы запустили сканирование, отчет будет в файле в директории public_html |
| Вопрос: |
что в принципе и было ожидаемо.Антивирус удалил его, но мы всеравно без почты и тд.Проглядев каталоги, там скорее всего и небыло того файла. он скорее генерировался отдельно и после отработки удалялся.У вас как я понял отследить нельзя, были ли пустые запросы к отправке почты? |
| Вопрос: |
Ожидаю |
| Вопрос: |
а какое имя и расширение у отчета? |
| Ответ: |
он еще не создан. формат отчета HTML |
| Вопрос: |
там у вас случайно прогресс не показывается?) |
| Ответ: |
*public_html'.
* ***** * **** *.
[*html*.*] **** * *****. [*: * *: * * ** *:*|*] |
| Вопрос: |
это текущий момент?(картинка)или там вирус?Оо |
| Вопрос: |
*: * * ** *Очень надеюсь что завтра, если проверка окажется успешной, все заработает =) |
| Ответ: |
/*public_html*-**-**-*******-**-******.html |
| Вопрос: |
просмотрел все подозрения. заглянул внутрь файлов, сравнил с исходниками(которые мне давали разработчики мой темы с самого начала). файлы один в один. Вируса на сайте не обнаружилРади эксперемента, сейчас просканирую на локалке модуль-виновник |
| Ответ: |
рекомендуем просканировать файлы при помощи KIS , по нашим данным этот антивирус неплохо находил даже вирусы в коде файлов, которые не находили avg , clam и maldet |
| Вопрос: |
касперский? |
| Ответ: |
да, именно. триальной версии вполне хватит на сканирование. он единственный из десктопных антивирусов мог находить вредоносный код в файлах сайтов. |
| Вопрос: |
тоесть забекапить, скачать бекап, и проверить? |
| Вопрос: |
Может всетаки пока я это делаю, пробно включить почту? |
| Ответ: |
доступ открыт. |
| Вопрос: |
спасибо |
| Ответ: |
сообщите о результате проверки вот еще проверка NOTE: quarantine is disabled! set quar_hits=* in conf.maldet or to quarantine results run: maldet -q ******-****.******
FILE HIT LIST:
{CAV}Php.Trojan.PCT* : *********defines.php
{CAV}Php.Trojan.PCT* : **********defines.php |
| Ответ: |
оба эти файла явно вирусы |
| Вопрос: |
обязательно сообщу.файлы удалил |
| Ответ: |
эти файлы аж ** ноября, это не свежие файлы |
| Вопрос: |
заметил. разбираюсь. нашел подобную сигнатуру в куче файлов. |
| Вопрос: |
странно что все проявилось только сейчас... |
| Ответ: |
ok |
| Вопрос: |
в общем я занимаюсь, лечу так быстро как могу. вы почту будете выключать ?возможно это * вируса.я пару месяцев назад отслеживал заход в админку на эти даты со всех старых аккаунтов создателей этого движка. причем заходы были только на эти аккаунты а другие были не тронуты. подозреваю что или у них утечка или они сами решили нашкодить... |
| Ответ: |
пока не будем отключать |
| Вопрос: |
спасибо, бекап скачал, развернул. касперский обновляется , сейчас проверку запущу. такой вопрос. это был первый случай рассылки спама с нашего сайта? |
| Ответ: |
да. случай рассылки спама первый а вот все Ваши вирусы
/*******update-extraction-*d*c*da*/**defines.php: Php.Trojan.StopPost FOUND
/*******update-extraction-*d*c*da*/**xba.php: Php.Trojan.StopPost FOUND
/*********diff.php: Php.Trojan.StopPost FOUND
/**********stats.php: Php.Trojan.StopPost FOUND
/**********file.php: Php.Trojan.StopPost FOUND
/*******dirs.php: Php.Trojan.StopPost FOUND
/**********cache.php: Php.Trojan.StopPost FOUND
/*****menu.php: Php.Malware.Mailbot-* FOUND
/******include.php: Php.Malware.Mailbot-* FOUND
/*********download.php: Php.Trojan.StopPost FOUND
/*********google_checkout.php: Php.Trojan.StopPost FOUND
/*********moneybookers.php: Php.Trojan.StopPost FOUND
/********customer.php: Php.Trojan.StopPost FOUND
/********blog.php: Php.Trojan.StopPost FOUND
/*****css.php: Php.Trojan.StopPost FOUND
/*******utf.php: Php.Trojan.StopPost FOUND
/*******view.php: Php.Malware.Mailbot-* FOUND
/********update-extraction-*d*c*da*/**defines.php: Php.Trojan.StopPost FOUND
/********update-extraction-*d*c*da*/**xba.php: Php.Trojan.StopPost FOUND
/**********diff.php: Php.Trojan.StopPost FOUND
/***********stats.php: Php.Trojan.StopPost FOUND
/***********file.php: Php.Trojan.StopPost FOUND
/********dirs.php: Php.Trojan.StopPost FOUND
/***********cache.php: Php.Trojan.StopPost FOUND
/******menu.php: Php.Malware.Mailbot-* FOUND
/**********download.php: Php.Trojan.StopPost FOUND
/**********google_checkout.php: Php.Trojan.StopPost FOUND
/**********moneybookers.php: Php.Trojan.StopPost FOUND
/*********customer.php: Php.Trojan.StopPost FOUND
/*********blog.php: Php.Trojan.StopPost FOUND
/******css.php: Php.Trojan.StopPost FOUND
/********utf.php: Php.Trojan.StopPost FOUND
/********model.php: Php.Malware.Mailbot-* FOUND
/********_**/file.php: Php.Malware.Mailbot-* FOUND
/*******update-extraction-*d*c*da*/**defines.php: Php.Trojan.StopPost FOUND
/*******update-extraction-*d*c*da*/**xba.php: Php.Trojan.StopPost FOUND
/*********diff.php: Php.Trojan.StopPost FOUND
/**********stats.php: Php.Trojan.StopPost FOUND
/**********file.php: Php.Trojan.StopPost FOUND
/*******dirs.php: Php.Trojan.StopPost FOUND
/**********cache.php: Php.Trojan.StopPost FOUND
/*****menu.php: Php.Malware.Mailbot-* FOUND
/*********download.php: Php.Trojan.StopPost FOUND
/*********google_checkout.php: Php.Trojan.StopPost FOUND
/*********moneybookers.php: Php.Trojan.StopPost FOUND
/********customer.php: Php.Trojan.StopPost FOUND
/********blog.php: Php.Trojan.StopPost FOUND
/*****css.php: Php.Trojan.StopPost FOUND
/*******utf.php: Php.Trojan.StopPost FOUND
/*******cache.php: Php.Malware.Mailbot-* FOUND
/******lib.php: Php.Malware.Mailbot-* FOUND
|
| Вопрос: |
Ваш антивирус сам поудалял зараженные файлы? |
| Ответ: |
эти что в списке - удалены. |
| Вопрос: |
нашел бекдор походу, уже удалил |
| Ответ: |
уточните пожалуйста конкретнее, что именно нашли |
| Вопрос: |
нашел интересную вещь**.***.**.**/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)**.***.***.***/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)***.**.**.***/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)**.***.***.*/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)***.**.***.**/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)**.***.**.***/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)***.**.***.***/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)***.**.**.**/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)**.***.**.**/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)***.**.***.***/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)**.**.***.**/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)***.***.**.**/*.*.*image*.php*******.**.** **:***/*.* (Windows*Windows* *.*; *:*.*.*)***.***.**.**/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)**.**.**.***/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)**.***.***.***/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)**.**.***.***/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)***.***.**.***/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)**.**.***.**/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)***.***.***.**/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)***.***.*.**/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)***.*.***.**/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)***.***.***.*/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)**.**.**.**/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)**.**.***.***/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)**.**.***.***/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* *.*; *:*.*.*)**.***.***.***/*.*.*image*.php*******.**.** *:***/*.* (Windows*Windows* |
| Ответ: |
это не файл сайта? дата сегодняшняя |
| Вопрос: |
|
| Вопрос: |
именно файл сайта, и именно то место откуда шел спам. но так как файла там нет, мой друпал уже сигнализирует (нашел в отчетах) о том что пытались зайти на несуществующую страницу. |
| Вопрос: |
блин...чего-то ваш сайт разьехался... =( * |
| Ответ: |
была вставлена блинная неразрывная строк, из-за этого получилась значительная растяжка, |
| Вопрос: |
Да я понял) |
| Ответ: |
есть ссылки на этот файл в самом сайте? |
| Вопрос: |
http://*.*.*.*вотhttp://***-*.*.*/а это декодер |
| Вопрос: |
Вроде все на сайте почистил. сейчас делаю бекап. по свежему еще раз пройдусь. и надеюсь на этом все готово |
| Вопрос: |
класс... эта дрянь еще и в бд сидит. |
| Вопрос: |
Все почистил.У вас случайно в карантине /*public_html*.*.*image*.php: Php.*.Mailbot-* * этот файл нигде не валяеться? хотел бы глянуть на него |
| Ответ: |
файл lib.php.*** в корне |
| Вопрос: |
спасиботакое коротенькое... ожидал больше)надеюсь уже все. попыток рассылок небыло? |
| Ответ: |
пока небыло. |
| Вопрос: |
Добрый день. Как там наш сайт, не шалит?) у вас в логах) |
| Ответ: |
в логах антивируса пока ничего |
| Ответ: |
пока чисто root@tisza [/*komador]# maldet -a *
Linux Malware Detect v*.*.*
(C) ****-****, R-fx Networks <proj@r-fx.org>
(C) ****, Ryan MacDonald <ryan@r-fx.org>
inotifywait (C) ****, Rohan McGovern <rohan@mcgovern.id.au>
This program may be freely redistributed under the terms of the GNU GPL v*
maldet(******): {scan} signatures loaded: ***** (**** MD* / **** HEX)
maldet(******): {scan} building file list for *, this might take awhile...
maldet(******): {scan} file list completed, found ***** files...
maldet(******): {scan} found ClamAV clamscan binary, using as scanner engine...
maldet(******): {scan} scan of * (***** files) in progress...
maldet(******): {scan} scan completed on *: files *****, malware hits *, cleaned hits *
maldet(******): {scan} scan report saved, to view run: maldet --report ******-****.******
root@tisza [/*komador]# clamscan -ir *
----------- SCAN SUMMARY -----------
Known viruses: *******
Engine version: *.**.*
Scanned directories: ****
Scanned files: *****
Infected files: *
Data scanned: ****.** MB
Data read: ****.** MB (ratio *.**:*)
Time: ***.*** sec (* m ** s)
root@tisza [/*komador]# avgscan *
AVG command line Anti-Virus scanner
Copyright (c) **** AVG Technologies CZ
Virus database version: ****/****
Virus database release date: Fri, ** Mar **** **:**:** +****
***.s.PGSQL.**** Object scan failed; Specified file was not found.
***mysql.sock Object scan failed; No such device or address
Files scanned : *****(*****)
Infections found : *(*)
PUPs found : *
Files healed : *
Warnings reported : *
Errors reported : * |
| Вопрос: |
вирус был в базе, и залили его создатели интернет магазина(где его заказывали) вот уж падлы...знать бы как наказать их...http://*.******-**/**/***.*Меры естественно все приняты.Сейчас все тихо и спокойно. |
| Ответ: |
вы уверены что это дело рук создателей а не sql injection? |
| Вопрос: |
Уверен |
| Ответ: |
есть каки ето доказательства? просто если это не дело рук разработчиков то возможно повторное заражение . |
| Вопрос: |
Учитывая что залезали именно на аккаунты старых админов(были еще и мои с правами администратора , но к ним почему-то не подключались) а также учитывая что мы скоро перенесем сайт с уберкарта(как только напишу скрипт переноса базы товаров) на другой движок, думаю все в порядке =) |
| Ответ: |
ok
|
| Вопрос: |
Добрый день. Появилась у меня небольшая проблема(возможно ваш карантин еще действует?)тут находиться *';но почему-то не выполняется. Аля страница недоступна. http://*.*.*.php |
| Вопрос: |
уже разобрался |
