| Вопрос: |
Доброго дня. Аккаунт приостановлен. А причина? а письмо на почту? |
| Ответ: |
Здравствуйте. аккаунт заблокирован за рассылку спама. антивирус обнаружил на вашем аккаунте много интересного. Это следствие уязвимости компонентов движка вашего сайта
|
| Вопрос: |
Непонятно две вещи: *. почему при блокировке я не был оповещен? сайт два дня, как лежит... не критично, конечно, но неприятно... и
*. почему заблокирован FTP? я даже почистить не могу теперь, хотя попробую зайти через веб-интерфейс...
хотелось бы порешать эти моменты...
|
| Вопрос: |
так... через веб-интерфейс не заходится... почистите, пожалуйста, приведенный список, и откройте аккаунт - я покопаюсь на предмет других "неожиданных" файлов.. )))) буду рад ссылочке на джумлу с прикрытой уязвимостью )
|
| Ответ: |
*. сообщение высылалось на ящик указаный в профиле. ящик EMAIL актуален?
*. сообщите ip с котрого вы будете работать, мы откреом вам доступ |
| Вопрос: |
да, и еще... возможно, совпадение, но лично я сомневаюсь ))) как раз пару дней назад проверял сайт на уязвимость по ссылочке, присланной компанией eHost. письмо цитирую:
Уважаемые клиенты, обнаружена серьезная уязвимость в CMS*Wordpress, которая позволяет использовать ваши сайты для * атак и создает существенную нагрузку на наши серверы. Убедительно просим принять меры по устранению данной проблемы. Подробнее о проблеме можно почитать тут: http://*.*/******/,
проверить свой сайт можно тут: http://*.*.*wordpress*.
есть подозрение в причастности данного сервиса. Заголовки этого письма:
*: EMAIL
*: *IP**********;
*, ** * **** **:**:** -**** (*)
*: *IP***********.**.*************;
*, ** * **** **:**:** -**** (*)
*: ****
*: *mail.ehost.*mail.ehost.*. [IP])
*mx.google.************.***.*IP.**.**
* ****;
*, ** * **** **:**:** -**** (*)
*: *google.*: domain*EMAIL*IP*ip*IP;
*: mx.google.*;
*google.*: domain*EMAIL*IP*.mail*EMAIL
*: *.ehost.*IP])
*mail.ehost.*********
* ****; *, ** * **** **:**:** +**** (*)
*: *, ** * **** **:**:** +****
*: =?*-*?*?******************?= ****
*: "eHost.*" ****
*: =?*-*?*?*****************==?=
*: ****
*: *
*Mailer: PHPMailer *.* (phpmailer.*.*)
*: *.*
*: multipart*;
********************************"
|
| Вопрос: |
ящик актуален, но письма нет ((((
ip: IP |
| Ответ: |
доступ вам открыт |
| Ответ: |
мы высалали вам список найденых у вас вирусов на ящик EMAIL письмо дошло? |
| Вопрос: |
это дошло, но почему-то упало в "спам", хотя "ответ на ваш тикет" - приходят нормально во входящие... но и в спаме нет предупреждения... ((( |
| Вопрос: |
"Ошибка в сети при отправке запроса логина. Пожалуйста, попробуйте еще раз. Если это состояние не проходит, обратитесь к поставщику услуг сети."
К чему бы это? |
| Ответ: |
проверьте может прежднее наше сообщение так же оказалось в "спаме" и вы его удалили, там тоже был этот список. |
| Вопрос: |
нет, я не чищу спам... и даже почитываю изредка, потому как туда, порой, падают вовсе не спамные сообщения. Первое письмо в спаме датировано **-м февраля... - похоже, датой автоочистки гугла... очень похоже на то, что это сообщение не приходило вовсе... (((( |
| Ответ: |
Мы всегда высылаем уведомления. Какой смысл блокировать аккаунт клиента без его уведомления? Причем восновном сперва идет уведомление а потом блокировка , если сиуация критическая. Спам с аккаунта к сожалению критическая ситуация негр=ативно влияющая на репутацию с ip сервера |
| Вопрос: |
да это я, как раз, понимаю.... в случае спама можно и блокировать сразу... спам-базы шутить не любят... я вот еще чего не понимаю: я указанных файлов не вижу (((( я бы предположил, что они доступны через *, но ссылки-то файловые... |
| Вопрос: |
да, и... я так понимаю, что джумлу мне лучше сменить?
подскажете, на что? |
| Ответ: |
Joomla лучше WordPress вы можете попробывать DLE, но она платная. |
| Вопрос: |
Но она, явно, уязвима. Свеженькие версии, надеюсь, уже не страдают этим?
И, как я понимаю, файлы Вы почистили самостоятельно? акк можно разблокировать? |
| Ответ: |
Что вы сделали для устранения проблемы? |
| Вопрос: |
для начала отключил сайт на уровне Joomla. предположительно, это отключило потенциально опасные его части, и не пускает на сайт без админской авторизации.
и не дождался от Вас ответа на вопросы, куда же подевались перечисленные файлы!!! ИХ НЕТ!!! |
| Ответ: |
Мы их удалили. Зачем их хранить? Вам нужно сменить все пароли и проверить свой компъютер на вирусы. |
| Вопрос: |
Пароли сменил, комп на вирусы проверяется в реальном времени регулярно обновляемой официальной базой *. |
| Ответ: |
Доступ открыт. |
| Вопрос: |
спс. джумлу нашел, завтра попробую поставить ) |
| Ответ: |
ok
|
| Вопрос: |
Ребят, вы издеваетесь, или в сети хостеры кончились?
Включите аккаунт, и проверьте свой антивирус. Снова блокировка, и снова ни единого письма. |
| Вопрос: |
А пока Вы не торопитесь отвечать, расскажите заодно: почему блокирована cpanel и ftp? для решения проблемы достаточно отключить vhost, и дать мне возможность хотя бы видеть проблему. Ситуация сильно наводит на мысль, что никакой уязвимости использовано не было, а проблема - результат некорректной работы Вашего ПО. |
| Вопрос: |
мдя.... саппорт сильно испортился... ((( Ладно, я спать... очень жду либо разблокировки, либо внятных объяснений причин блокировки. Хоть как-то коррелирующих с реальным положением вещей... |
| Ответ: |
антивирус не при чем. на вас поступила жалоба, жалоба вам высылалась, вы ничего не сделали
Файлы хакера как были так и остались на вашем аккаунте. Как вы проверяли сайт? Вопрос, что и как вы проверяли? файлы у вас с **го марта еще! |
| Вопрос: |
я заходил и через FTP и через файл-менеджер. Ни единого файла из списка не было! |
| Ответ: |
не может такого быть, файлы хакера у вас с **го числа и их никто не трогал
/*public_html*.php
*: `*.php'
*: *** *: * *: **** *
*: ****/******: ******** *: *
*: (****/-*: ( ****/*: ( ****/*)
*: ****-**-** **:**:**.********* +****
*: ****-**-** **:**:**.********* +****
*: ****-**-** **:**:**.********* +**** |
| Вопрос: |
не вижу ответа о необходимости блокирования *. Может быть, вы прочтете мои сообщения ВНИМАТЕЛЬНО? я не могу проверить это. у меня нет даже служебного доступа!!! |
| Ответ: |
необхотимость вызвана блокированиме полного доступа для хакера, т.к. вы не отвечаете на извещения а мы получаем на ваш сайт жалобы. Сейчас у вас есть доступ и в панель и ftp |
| Вопрос: |
Вы можете прочесть несколькими сообщениями ранее:
**:**
Мы их удалили. Зачем их хранить? Вам нужно сменить все пароли и проверить свой компъютер на вирусы.
от Владимир |
| Ответ: |
кого вы удалили? ganteng.php и ganteng.gif? вы их не могли удалять т.к. они были закачаны ** марта и более не менялись. вы сообщили что полностью проверили сайт а на самом деле этого не сделали, за что мы получили очередную жалобу на сервер от дата центра, мы вам поверили а вы нас просто подставили. |
| Вопрос: |
когда я проверял, их не было, как и длинного перечня файлов, который был прислан. И в этом перечне не было *.php. И файла не было. Слова "Мы их удалили" были сказаны мне Владимиром. Вы догадываетесь, что я крайне дезориентирован относительно ситуации? посмотрите перечень присланных файлов. Он в этом тикете на прошлой странице. Очень не хочется думать, что все это - результат неправомерных действий Ваших админов, но пока у меня не наступает ясность относительно происходящего |
| Ответ: |
эти файлы появились ** го марта, и они там были, а тот длинный перечень как было вам сказано , это список уже удаленных антивирусом файлов. вам нужно было полностью проверить сайт . файлы ganteng.php не определяются антивирусами. как вы проверяли сайт? кстати файлы ganteng так же есть в корне аккаунта, предположительно у хакера есть доступ к ftp, проверьте свой компьютер на вирусы на наличие трояна |
| Вопрос: |
Журнал проверки
Версия базы данных сигнатур вирусов: **** (********)
Д*т*: **.**.**** Время: *:**:**
Просканированные диски, папки и файлы: Оперативная память
Количество просканированных объектов: ***
Количество обнаруженных угроз: *
Время выполнения: *:**:** Общее время проверки: *** сек. (**:**:**)
Это что касается оперативки... проверяю "смарт-скан".... |
| Ответ: |
ok
|
| Вопрос: |
попробовал скачать весь архив с сайтом - * заорал. Т.е. вирусы сайта в базе есть. Сомнительно, что троян мог проскочить на мой комп, если он есть в базе, и реал-тайм скан не выключается. обновление баз ежедневное.
Предпринял:
*. Убил сайт полностью.
*. Сменил еще раз пароль.
Предлагаю:
*. Включить сайт
*. Создать cron-скрипт, проверяющий появление новых файлов в моей директории. Убивающий эти все новые файлы. Сообщающий об этих убийствах.
*. Посмотреть, что из этого получится. Я готов потерпеть какое-то время без сайта для проведения этих экспериментов.
Машину пока трогать не буду, если атака была с моего компа - мы это увидим. Но лично я в этом сомневаюсь.
Скрипт прошу написать Вас, потому как просто не имею на это времени - работа... |
| Вопрос: |
А, все! нашел! Брутфорс админ-панели джумлы.... (((( |
| Ответ: |
поставьте защиту на админку. загрузите туда .htaccess с директивами
*
allow from Ваш ip
&*;
удалите компонент JCE, запретите произвольную регистрацию, без подвтерждения. поставьте запрет на изменение файлов конфигурации (права *** можно поставить только через файловый менеджер панели) . сайт открыт для доступа для вашего ip. по окончанию работ сообщите, откроем доступ для всех
функция mail, извините , будет времнно заблокирована для всех сайтов.
Антивирус регулярно проверяет файлы всех пользователей на сервере |
| Вопрос: |
Евгений>удалите компонент *
кхе....
remixoff>Предпринял:
remixoff>*. Убил сайт полностью.
ну я правда убил сайт. целиком. сохранил у себя на локали. дойдут руки - подниму обратно... постараюсь учесть уязвимости.... хотя сами понимаете... пока есть люди, которые тратят время на взлом, что-то гарантировать сложно.
ЗЫ: передайте, пожалуйста, Владимиру, чтобы впредь он более полно рассказывал о причинах блокировки, особенно после кодовой фразы "письмо не пришло". Проблема могла бы быть снята еще в первый раз... |
| Вопрос: |
ЗЗЫ: ключевым для меня стало слово *.php, которое вы процитировали вместе с содержанием жалобы. |
| Ответ: |
у вас было несколько причин блокировки, спам и жалоба на дефейс. |
| Вопрос: |
и было бы очень неплохо, чтобы эту инфу не приходилось вытягивать клещами между работой. Список причин, внятное объяснение действий ПО и админов, рекомендации по устранению (опционально) - все это резко повысило бы комфорт при нахождении причин проблемы. А так, моя первая мысль - ну, если Ваш антивирус отработал, то все уже почти в порядке. Т.е. - не было полной картинки ни причин проблемы, ни дальнейших действий хостера. А в такой ситуации, согласитесь, сложно принимать адекватные решения. |
| Ответ: |
антивирус удаляет файлы а не причину их возникновения. |
| Вопрос: |
Как показывает практика, еще и не все файлы. Потому было бы очень неплохо иметь адекватную обратную связь с саппортом. Поймите, пожалуйста, что далеко не у всех есть время, чтобы перечитать сотни страниц о всех уязвимостях, атаках, отзывах, и т.п., да еще и постоянно следить за этим, поскольку инфа постоянно обновляется. Поэтому для расследования конкретного случая хорошая обратная связь сильно решает проблему. Очень хочется надеяться, что Вы обратили внимание на тот факт, что письмо о блокировке не пришло дважды. И решите эту проблему... |
| Ответ: |
ящик EMAIL актуален? все извещения высылаются на него |
| Вопрос: |
Господи боже ты мой.... такое ощущение, что со стенкой разговариваю.
*. Да, актуален.
*. Извещения о тикетах приходят успешно
*. Сообщения не было. И в спаме не было. И не удалял!!!!! |
| Ответ: |
вам отправлено на этот ящик сейчас тестовое сообщение, со списком вирусов. оно дошло? |
| Вопрос: |
Это - дошло ))))) а предупреждения не было.... вот такая-вот странность )))) скриншоты прислать? ))) |
| Ответ: |
нет, скриншоты не нужны |
| Вопрос: |
Доброго дня.
Все, можно разблокировать.
Угрозу устранил принципиально строчкой .*
* *** / http://*.*.*/
Ваш IP не пострадает боле! |
| Ответ: |
доступ открыт |
WordPress)