| Вопрос: |
Доброе утро! Перестали работать сайт и почта! |
| Ответ: |
Здравствуйте. Вам высылалось уведомление о рассылке спама
что Вам известно? эо вы рассылали? |
| Вопрос: |
я не понимаю что это |
| Вопрос: |
почему не работает сайт??? |
| Вопрос: |
я установил на все почтовые ящики сложные сгенерированные пароли неделю назад |
| Ответ: |
потаму что с вашего сервера рассылался спам. вы рассылали спам? вы проводите рассылки? |
| Вопрос: |
нет и нет |
| Вопрос: |
мы почту сейчас перенесем на другой сервер, рас у вас ней постоянные проблемы. восстановите нам работу сайта! |
| Вопрос: |
пожалуйста заблокируйте нам почту и разблокируйте сайт |
| Ответ: |
Ожидайте пожалуйста, запрос передан администратору. |
| Вопрос: |
когда заработает сайт?! Нам звонят клиенты, не могут зайти |
| Ответ: |
вы начерное не совсем понимаете суть проблемы. От Вас слался СПАМ ! кто следит за вашими сайтами? кто имеет к ним доступ? кто отвечает за их обновление ? кто работате с почтой? |
| Вопрос: |
с почтой работаю только я и один менеджер. с сайтом работает компания которая обслуживает сайт
из нас спам точно никто не рассылал |
| Вопрос: |
с какого именно ящика слался спам? |
| Ответ: |
не с ящика, а с ваших сайтов. т.к. доступ к сайтам имеют посторонние люди? |
| Вопрос: |
посторонние не имеют доступа. Может взломали сервер? что нам дальше делать? |
| Ответ: |
сервер это врядли а вот ваш сайт это уже вероятнее. как давно обновлялись сайты? на каких cms они работают? |
| Вопрос: |
Хорошо мы сейчас проверим сайт на предмет лишних скриптов.
А как давно рассылается спам и нет ли возможности узнать какими скриптами? |
| Ответ: |
проверяйте, мы со своей стороны тоже его проверяем антивирусами. так же не лишним будет смена абсолютно всех паролей |
| Вопрос: |
сейчас будем разбираться |
| Ответ: |
ok
|
| Вопрос: |
Здравствуйте, мы проверили *.* и ничего вредоносного не обнаружили. Сейчас проверяем и остальные сайты.
На всякий случай мы перенесли все почтовые ящики на *.yandex.*. В течение суток перепишутся MX записи и можно будет вообще заблокировать любую рассылку писем с нашего IP.
Поставьте нас в известность если что-то ещё выясните по спам рассылке. |
| Ответ: |
антивирусы ничего не нашли
*(*****): {*: ***** (***** ** / **** *)
*(*****): {* ./, *...
*(*****): {* ***** *...
*(*****): {*...
*(*****): {* ./ (***** *...
*(*****): {*: * * * *
*(*****): {* ./: * *****, * *, * *
*(*****): {*: * ******-****.***** |
| Вопрос: |
Здравствуйте, не получается задать в панели MX запись для доменного имени *.*, за сутки она до сих пор не применилась.
Это нужно сделать через вас? Необходимые параметры:
Имя поддомена — @
Тип записи — MX
Данные — mx.yandex.*.
Приоритет — ** |
| Ответ: |
Здравствуйте.
Данная запись у вас указанна. |
| Вопрос: |
Здравствуйте.
На сайте *.* сообщение "*administrator.". Вы написали что это изза рассылки спама. Но мы уже перевели всю почту на yandex.*, даже если кто-то получил доступ к нашим ящикам, то это не может быть с вашего сервера.
Вы можете просто отключить возможность слать письма с нашего хостинга, чтобы вы убедились что мы ничего не шлём? |
| Ответ: |
Ожидайте пожалуйста, запрос передан администратору. |
| Ответ: |
спам слали не с ящиков а при помощи взломаных скриптов. кто занимается безопасностью Вашего сайта? |
| Вопрос: |
Мы уже проверяли все скрипты сайта, когда вы отключили сайт в прошлый раз, вредоносного не нашли.
Я так понимаю вы не можете сказать сказать какой скрипт совершает рассылку.
А можно посмотреть хотя бы период в который это происходило?
Если у вас есть информация о том когда высылался спам, то можно по логам посмотреть к каким url адресам сайта обращались и соответственно определить скрипты.
В похожей ситуации советуют искать именно * запросы:
http://*.*.php*=******
Ещё помогло бы если бы вы в файловом менеджере получили список всех .php файлов и отсортировали их по дате модификации и положили сюда либо отправили на EMAIL.
Та бы мы знали хотя бы какие скрипты досконально проверить. |
| Ответ: |
вы можете сделать это по ssh при помощи файлового менеджера mc
&*; |
| Ответ: |
сейчас мы проверяем сервер, вирусов антивирус не нашли, в прошлый раз тоже не все файлы были найдены антивирусом
&*; |
| Вопрос: |
Я сейчас не могу подключиться даже по ФТП, кажется закрыт доступ. Можете открыть?
Я бы попросил и сайт запустить - клиенты жалуются.
Не волнуйтесь, проблему не забросим, будем искать.
Если даже не найдём вредоносный скрипт - в итоге сделаем запрет на запуск вообще всех php скриптов, кроме *.php в корне (с помощью .*). |
| Ответ: |
доступ открыт включая доступ к shell / наши антивирусы ничего ен нашли пока |
| Ответ: |
вы удаляли задания планировщика? |
| Вопрос: |
Нет, последние месяцы планировщик не редактировали. |
| Ответ: |
ok
|
| Вопрос: |
Проверили - почти все файлы модифицировались **** году.
У нас на сайте вызывается только один скрипт - корневой *.php (всё работает через него). Папки в которые можно загружать файлы - в них есть .* с запретом выполнения скриптов (так что если и будет что-то загружено то выполнить это будет нельзя).
Единственное место, которое у нас не было блокировки (стоит исключение) - это библиотека ** для админки.
Возможно в ней как раз всё дело:
https://*.*.**%**%**%**%**%**%**%**%**%**%**%**%**%**%**%**%**%**%**%***%**%**%***%**%**%**%**%**%**%**%**%**%**%**%**%***%**-**%**-*
Сейчас мы поставили блокировку и здесь (и вообще где можно). Уж даже и знаем где ещё может быть уязвимость, проверьте пожалуйста продолжается ли рассылаться спам. |
| Ответ: |
пока ничего нет, мы не можем прооверить |
| Вопрос: |
Ещё важное - для отправки писем мы используем PHPMailer, поэтому стандартную php функцию mail() можете совсем отключить. |
| Ответ: |
Ожидайте пожалуйста, запрос передан администратору. |
| Ответ: |
проверка антиврусами ничего не ала. sendmail остановлен |
WordPress)