|
| Дата |
|
USD/RUB | 88.4375 | BTC/USD | 67733.7100 |
|
|
|
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии. |
16.02.2013, 14:05
|
Start Post: Абузят доры из-за Сутры
|
Технодаун
Регистрация: 11.05.2007
Сообщений: 10,357
Бабло: $1503235
|
Короче спамлю русские дорвеи (шмот/казино/адалт) апостерам по гестам.
Не так давно начали приходить жосткие абузы, причем не на спам а на вирусы, типа из-за того что линка ведет на сутру как я понял
Цитата:
From: <[email protected]>
Date: 2013/1/31
Subject: [clean-mx-viruses-9293954](78.108.179.50)-->([email protected])
viruses sites (1 so far) within your network, please close them!
status: As of 2013-01-31 14:27:50 CET
To: [email protected]
Копия: [email protected]
Dear abuse team,
please help to close these offending viruses sites(1) so far.
status: As of 2013-01-31 14:27:50 CET
http://support.clean-mx.de/clean-mx/...response=alive
(for full uri, please scroll to the right end ...
We detected many active cases dated back to 2007, so please look at
the date column below.
You may also subscribe to our MalwareWatch list
http://lists.clean-mx.com/cgi-bin/ma...nfo/viruswatch
This information has been generated out of our comprehensive real time
database, tracking worldwide viruses URI's
most likely also affected pages for these ip may be found via passive dns
please have a look on these other domains correlated to these ip
example: see http://www.bfk.de/bfk_dnslogger.html?query={IP ADRESS}
If your review this list of offending site, please do this carefully,
pay attention for redirects also!
Also, please consider this particular machines may have a root kit installed !
So simply deleting some files or dirs or disabling cgi may not really
solve the issue !
Advice: The appearance of a Virus Site on a server means that
someone intruded into the system. The server's owner should
disconnect and not return the system into service until an
audit is performed to ensure no data was lost, that all OS and
internet software is up to date with the latest security fixes,
and that any backdoors and other exploits left by the intruders
are closed. Logs should be preserved and analyzed and, perhaps,
the appropriate law enforcement agencies notified.
DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY
PROBLEM, THEY WILL BE BACK!
You may forward my information to law enforcement, CERTs,
other responsible admins, or similar agencies.
+-----------------------------------------------------------------------------------------------
|date |id |virusname |ip
|domain |Url|
+-----------------------------------------------------------------------------------------------
|2013-01-31 13:35:35 CET |9293954 |unknown_html
|{IP ADRESS} |DOORWAY.ru
|http://sub.DOORWAY.ru/skachat-igrovo...at-azteca.html
+-----------------------------------------------------------------------------------------------
Your email address has been pulled out of whois concerning this
offending network block(s).
If you are not concerned with anti-fraud measurements, please forward
this mail to the next responsible desk available...
If you just close(d) these incident(s) please give us a feedback, our
automatic walker process may not detect a closed case
explanation of virusnames:
==========================
unknown_html_RFI_php not yet detected by scanners as RFI, but pure
php code for injection
unknown_html_RFI_perl not yet detected by scanners as RFI, but pure
perl code for injection
unknown_html_RFI_eval not yet detected by scanners as RFI, but
suspect javascript obfuscationg evals
unknown_html_RFI not yet detected by scanners as RFI, but
trapped by our honeypots as remote-code-injection
unknown_html not yet detected by scanners as RFI, but suspious, may
be in rare case false positive
unknown_exe not yet detected by scanners as malware, but high risk!
all other names malwarename detected by scanners
==========================
yours
Gerhard W. Recher
(Gesch?ftsf?hrer)
NETpilot GmbH
Wilhelm-Riehl-Str. 13
D-80687 M?nchen
GSM: ++49 171 4802507
Handelsregister M?nchen: HRB 124497
|
Если погуглить адреса доров по блеклистам и тд то можно найти на сайте семантека каринку со схемой дор-сутра-партнерка и красным флажком с надписью "MALWARE-CNC TDS Sutra - page redirecting to a SutraTDS " и линк http://www.symantec.com/security_res...jsp?asid=25812
Кто сталкивался? Чего делать и как жить дальше?
Хостер очень лояльный, но уже просит переезжать из-за потока абуз.
__________________
ноу криминалити ин раша
|
|
|
16.02.2013, 14:34
|
#12
|
Технодаун
Регистрация: 11.05.2007
Сообщений: 10,357
Бабло: $1503235
ТС -->
|
ТС
Цитата:
Сообщение от sspy
ну так смотря на что сливаешь, если там нет ничего противозаконного пиши всем что они охуели, т.к. это действительно так. принцип тдс не запрещен ни одним законом ни одной страны.
|
Бля, еще раз говорю, мой хостер мега лоялен, но когда ип попадает в спамхауз, чо он может сделать?
__________________
ноу криминалити ин раша
|
|
|
16.02.2013, 14:44
|
#13
|
главный злодей гофака
Регистрация: 18.06.2007
Сообщений: 5,737
Бабло: $953848
|
Цитата:
Сообщение от xealey
sspy, ты хостеру это объясни. или лучше посоветуй адекватного, кому на подобные предъявы пофиг
|
этот момент лучше напрямую у у хостера уточнять.
Цитата:
Сообщение от Maximus325
Бля, еще раз говорю, мой хостер мега лоялен, но когда ип попадает в спамхауз, чо он может сделать?
|
в спамхаус просто так ип не попадает, так всё-таки там была малвара или что-то противозаконное или нет ?
проспамь уж до кучи и сайт этой конторы
Цитата:
Сообщение от Longer
Опиши хоть общее направление мысли ...
Если траф редиректит на плохие с точки зрения АВ урлы, то какая разница какая ТДС?
|
направление мысли в том, что есть такое понятие как сигнатуры, бот видит признаки сутры и паяет сразу +1 к опасности урла
__________________
Последний раз редактировалось sspy; 16.02.2013 в 14:51.
|
|
|
16.02.2013, 14:49
|
#14
|
Yea!
Регистрация: 15.02.2008
Сообщений: 2,319
Бабло: $313955
|
ссылку на SBL покажи
__________________
|
|
|
16.02.2013, 15:10
|
#15
|
Senior Member
Регистрация: 28.11.2009
Сообщений: 1,787
Бабло: $299365
|
От апостера есть ещё смысл?
|
|
|
16.02.2013, 15:52
|
#16
|
Senior Member
Регистрация: 27.01.2011
Сообщений: 381
Бабло: $89857
|
Цитата:
Сообщение от sspy
в спамхаус просто так ип не попадает, так всё-таки там была малвара или что-то противозаконное или нет ?
|
Попадает еще как, даже за простой веб спам.
|
|
|
16.02.2013, 16:08
|
#17
|
Ебланнед
Регистрация: 03.04.2007
Сообщений: 3,055
Бабло: $460560
|
Цитата:
Сообщение от rushter
От апостера есть ещё смысл?
|
смысл есть, если есть база пиздатая, с пиздатой базой топы по фарме обеспечены
__________________
mKostya = adultmas = euro$ >>> бан
|
|
|
16.02.2013, 16:13
|
#18
|
оК
Регистрация: 03.12.2008
Сообщений: 4,161
Бабло: $739460
|
Цитата:
Сообщение от Shadefirst
Попадает еще как, даже за простой веб спам.
|
+1 сейчас даже за парсинг, абузят как хак и если у тебя в базе правительственные сайты, спамхаус залистит без разбора
|
|
|
16.02.2013, 16:19
|
#19
|
Хочу обратно ((
Регистрация: 18.04.2007
Сообщений: 3,528
Бабло: $589868
|
Цитата:
Сообщение от sspy
направление мысли в том, что есть такое понятие как сигнатуры, бот видит признаки сутры и паяет сразу +1 к опасности урла
|
Серьезно что ли? Т.е. даже если с сайта о цветках сливать на другой сайт о цветках за сутру реально получить метку?
|
|
|
16.02.2013, 16:24
|
#20
|
Senior Member
Регистрация: 31.03.2011
Сообщений: 3,336
Бабло: $669045
|
ав реагирует на сутру
|
|
|
16.02.2013, 16:27
|
#21
|
Yea!
Регистрация: 15.02.2008
Сообщений: 2,319
Бабло: $313955
|
Рендару достаточно сменить формат in.cgi? на что-то другое по моему, и вопрос решится.
__________________
|
|
|
|