| Вопрос: |
Добрый день! Сегодня ночью на мой ресурс поступила жалоба о фишинговой атаке на другие ресурсы, из-за чего сайт был заблокирован. В то же самое время вчера я нашел вредоносный код в нескольких разделах сайта и удалил его. Прошу Вас проверить ресурс на наличие вредоносного кода и разблокировать аккаунт или же сообщить об имеющихся проблемах для их дальнейшего устранения мной. Спасибо. С уважением, Николай. |
| Ответ: |
Здравствуйте акаунт проверяется. Ожидайте пожалуйста |
| Ответ: |
Уточните, пожалуйста. успели ли Вы удалить ссылку hxxps://agitka[dot]*** ? |
| Вопрос: |
Честно говоря, данную ссылку не видел. Все файлы, которые были созданы вирусом, удалил или вернул старые версии. Сейчас, к сожалению, не могу попасть ни на FTP, ни в cPanel. Подскажите, пожалуйста, это как-то связано с блокировкой? И где Вы обнаружили данную ссылку? |
| Ответ: |
Уточните, пожалуйста, Ваш WAN IP. Узнать его Вы можете здесь: **ip.php |
| Вопрос: |
**.**.***.*** |
| Ответ: |
Досутп открыт Вам по iP. удалите ссылки с жалобы We have discovered a phishing attack located on your network: hxxps://ueberpruefen-sie-ihr.deutsche-bankkonto.agitka[.]***login.html?session=hmAjdPecQFbkDel*BgtIDt*Oa*fMmrSUzDx*WoQgReMfiEjJOjfCPfEQUuQySb& [***.**.***.***] hxxps://ueberpruefen-sie-ihr.deutsche-bankkonto.agitka[.]**db [***.**.***.***] hxxps://ueberpruefen-sie-ihr.deutsche-bank.de.agitka[.]*** [***.**.***.***] It is possible that this attack is being restricted so it is only visible from certain countries. Before deciding that the attack has been resolved please confirm it cannot be viewed from the following countries: Germany We previously contacted you about this issue on ****-**-** **:**:** (UTC). Since our last notification, the following additional URL(s) have been detected: hxxps://ueberpruefen-sie-ihr.deutsche-bankkonto.agitka[.]**db hxxps://ueberpruefen-sie-ihr.deutsche-bankkonto.agitka[.]***login.html?session=hmAjdPecQFbkDel*BgtIDt*Oa*fMmrSUzDx*WoQgReMfiEjJOjfCPfEQUuQySb& This attack targets our customer, Deutsche Bank, website URL http://www.db.com. Would it be possible to have the fraudulent content, and any other associated fraudulent content, taken down as soon as you are able to? Additionally, please send any files associated with the fraudulent content to [email protected] so that our customer and law enforcement agencies can investigate the incident further. More information about the detected issue is provided at ****f**** Many thanks, Netcraft Phone: +**(*)**** ****** Fax: +**(*)**** ****** Netcraft Issue Number: ******* To contact us about updates regarding this attack, please respond to this email. Please note: replies to this address will be logged, but aren't always read. If you believe you have received this email in error, or you require further support, please contact: [email protected]. This mail can be parsed with x-arf tools. Visit * for more information about x-arf. |
| Вопрос: |
К сожалению, доступа у меня так и нет |
| Вопрос: |
Эти ссылки, как я понимаю, генерировались динамически, поскольку в один из каталогов сайта были записаны файлы сайта-доорвея, который уже перенаправлял что-то куда-то. Также был измене файл .* - он перенаправлял ссылки на вредоносный код. Также в админ. панели хоста была изменена версия PHP с *.* на *.*. Все эти проблемы были исправлены сегодня ночью. Проверить, осталось ли что-то я, к сожалению, не могу из-за отсутствия доступа. |
| Ответ: |
Реквизиты доступа высланы на Вашу почту |
| Вопрос: |
Спасибо! Зашел, проверил. Все следы вредоносного ПО удалены сегодня в *:**, как я и сообщил. Больше ничего не обнаружил. Возможно ли восстановить работу сайта? |
| Ответ: |
Доступ открыт |
| Вопрос: |
Что с моим паролем и доступом к аккаунту? Я не могу зайти в личный кабинет хостинга ни по своему паролю, ни по тому, что Вы мне прислали. Помогите, пожалуйста. |
| Ответ: |
Реквизиты доступа высланы на Вашу почту |
| Вопрос: |
Спасибо! Пароль восстановил |
| Ответ: |
Спасибо за обращение в техническую поддержку.
|
| Вопрос: |
Сайт восстановлен. Спасибо за помощь! |
| Ответ: |
Спасибо за обращение в техническую поддержку.
|
| Вопрос: |
Добрый день! Мой сайт снова заблокирован без жалоб и объяснения причин. Посмотреть ситуацию я не могу из-за отсутствия какого-либо доступа как к FTP, так и к cPanel.Прошу прояснить ситуацию. Спасибо. |
| Ответ: |
здравствуйте сегодня снова была жалоба на ваш сайт Hello,
We have discovered a phishing attack located on your network:
hxxps://ueberpruefen-sie-ihr.deutsche-bankkonto.agitka[.]***login.html?session=hmAjdPecQFbkDel*BgtIDt*Oa*fMmrSUzDx*WoQgReMfiEjJOjfCPfEQUuQySb& [***.**.***.***] hxxps://ueberpruefen-sie-ihr.deutsche-bankkonto.agitka[.]**db [***.**.***.***] hxxps://ueberpruefen-sie-ihr.deutsche-bank.de.agitka[.]*** [***.**.***.***]
It is possible that this attack is being restricted so it is only visible from certain countries. Before deciding that the attack has been resolved please confirm it cannot be viewed from the following countries:
Germany
We previously contacted you about this issue on ****-**-** **:**:** (UTC).
This attack targets our customer, Deutsche Bank, website URL http://www.db.com.
Would it be possible to have the fraudulent content, and any other associated fraudulent content, taken down as soon as you are able to?
Additionally, please send any files associated with the fraudulent content to [email protected] so that our customer and law enforcement agencies can investigate the incident further.
More information about the detected issue is provided at ****f****
Many thanks,
Netcraft
Phone: +**(*)**** ******
Fax: +**(*)**** ******
Netcraft Issue Number: *******
To contact us about updates regarding this attack, please respond to this email. Please note: replies to this address will be logged, but aren't always read. If you believe you have received this email in error, or you require further support, please contact: [email protected].
This mail can be parsed with x-arf tools. Visit * for more information about x-arf. |
| Вопрос: |
Прошу Вас дать хоть какой-то доступ для анализа и устранения проблемы. |
| Ответ: |
уточниет ip с котрого вы будете рабоатть |
| Вопрос: |
**.**.***.*** |
| Ответ: |
Достпу по IP открыт |
| Вопрос: |
Каталоги с вирусным контентом удалил, изменил на всякий случай пароль администратора БД в системе. Прошу проверить и принять решение о разблокировке. |
| Ответ: |
Доступ открыт. |
| Вопрос: |
Спасибо! |
| Ответ: |
Спасибо за содействие. |
| Вопрос: |
Подскажите, пожалуйста, еще - прошу прощения)) При выполнении бэкапа в cPanel откуда-то автоматом подставляется почта *.*.*gmail.*Это явно что-то также вирусного происхождения. Подскажите, пожалуйста, в каком разделе могут быть эти данные, и как изменить почту на мою ***@*.*Спасибо! |
| Ответ: |
Проверьте пожалуйста сейчас.
|
| Вопрос: |
Теперь все хорошо! Спасибо! А я могу где-то еще посмотреть данные пользователя, вдруг имеются какие-либо другие разночтения? |
| Ответ: |
только в настройках аккаунта в панели. |
| Вопрос: |
Ок, понял! Еще раз спасибо! |
| Ответ: |
Спасибо за обращение в техническую поддержку.
|
| Вопрос: |
Доброй ночи! Только что в файлах сайта снова обнаружил паразитную папку .* в каталоге public_html. Удалил ее, а также почистил корень директории сайта уровнем выше, чем public_html. Удалил там целый ряд файлов: конфигов, сертификатов и пр., связанных с вредоносным контентом. Прошу Вас проследить за поведением сайта в течение ближайших нескольких суток и при наличии подозрительной активности направить на мою почту письмо. Я буду оперативно устранять проблему. Спасибо! |
| Ответ: |
well-known не паразитная папка. это папка обеспечивающая рабоут сертификата. мы не можем следить за активностью сайта пр наличии несколкихз тысяч сайтов на сервере. мы можемвыполнятьпроверку по вашем запросу |
WordPress)