Абузят доры из-за Сутры - Форум успешных вебмастеров - GoFuckBiz.com

16.02.2013, 14:05

Start Post: Абузят доры из-за Сутры

#11

Maximus325

Технодаун

Регистрация: 11.05.2007

Сообщений: 10,357
Бабло: $1503235

Короче спамлю русские дорвеи (шмот/казино/адалт) апостерам по гестам.
Не так давно начали приходить жосткие абузы, причем не на спам а на вирусы, типа из-за того что линка ведет на сутру как я понял

Цитата:

From: <[email protected]>
Date: 2013/1/31
Subject: [clean-mx-viruses-9293954](78.108.179.50)-->([email protected])
viruses sites (1 so far) within your network, please close them!
status: As of 2013-01-31 14:27:50 CET
To: [email protected]
Копия: [email protected]

Dear abuse team,

please help to close these offending viruses sites(1) so far.

status: As of 2013-01-31 14:27:50 CET
http://support.clean-mx.de/clean-mx/...response=alive

(for full uri, please scroll to the right end ...

We detected many active cases dated back to 2007, so please look at
the date column below.
You may also subscribe to our MalwareWatch list
http://lists.clean-mx.com/cgi-bin/ma...nfo/viruswatch

This information has been generated out of our comprehensive real time
database, tracking worldwide viruses URI's

most likely also affected pages for these ip may be found via passive dns
please have a look on these other domains correlated to these ip
example: see http://www.bfk.de/bfk_dnslogger.html?query={IP ADRESS}

If your review this list of offending site, please do this carefully,
pay attention for redirects also!
Also, please consider this particular machines may have a root kit installed !
So simply deleting some files or dirs or disabling cgi may not really
solve the issue !

Advice: The appearance of a Virus Site on a server means that
someone intruded into the system. The server's owner should
disconnect and not return the system into service until an
audit is performed to ensure no data was lost, that all OS and
internet software is up to date with the latest security fixes,
and that any backdoors and other exploits left by the intruders
are closed. Logs should be preserved and analyzed and, perhaps,
the appropriate law enforcement agencies notified.

DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY
PROBLEM, THEY WILL BE BACK!

You may forward my information to law enforcement, CERTs,
other responsible admins, or similar agencies.

+-----------------------------------------------------------------------------------------------

|date |id |virusname |ip
|domain |Url|
+-----------------------------------------------------------------------------------------------
|2013-01-31 13:35:35 CET |9293954 |unknown_html
|{IP ADRESS} |DOORWAY.ru
|http://sub.DOORWAY.ru/skachat-igrovo...at-azteca.html
+-----------------------------------------------------------------------------------------------

Your email address has been pulled out of whois concerning this
offending network block(s).
If you are not concerned with anti-fraud measurements, please forward
this mail to the next responsible desk available...

If you just close(d) these incident(s) please give us a feedback, our
automatic walker process may not detect a closed case

explanation of virusnames:
==========================
unknown_html_RFI_php not yet detected by scanners as RFI, but pure
php code for injection
unknown_html_RFI_perl not yet detected by scanners as RFI, but pure
perl code for injection
unknown_html_RFI_eval not yet detected by scanners as RFI, but
suspect javascript obfuscationg evals
unknown_html_RFI not yet detected by scanners as RFI, but
trapped by our honeypots as remote-code-injection
unknown_html not yet detected by scanners as RFI, but suspious, may
be in rare case false positive
unknown_exe not yet detected by scanners as malware, but high risk!
all other names malwarename detected by scanners
==========================

yours

Gerhard W. Recher
(Gesch?ftsf?hrer)

NETpilot GmbH

Wilhelm-Riehl-Str. 13
D-80687 M?nchen

GSM: ++49 171 4802507

Handelsregister M?nchen: HRB 124497

Если погуглить адреса доров по блеклистам и тд то можно найти на сайте семантека каринку со схемой дор-сутра-партнерка и красным флажком с надписью "MALWARE-CNC TDS Sutra - page redirecting to a SutraTDS " и линк http://www.symantec.com/security_res...jsp?asid=25812

Кто сталкивался? Чего делать и как жить дальше?

Хостер очень лояльный, но уже просит переезжать из-за потока абуз.

__________________
ноу криминалити ин раша

16.02.2013, 14:34

#12

Maximus325

Технодаун

Регистрация: 11.05.2007

Сообщений: 10,357
Бабло: $1503235

ТС -->

ТС

Цитата:

Сообщение от sspy

ну так смотря на что сливаешь, если там нет ничего противозаконного пиши всем что они охуели, т.к. это действительно так. принцип тдс не запрещен ни одним законом ни одной страны.

Бля, еще раз говорю, мой хостер мега лоялен, но когда ип попадает в спамхауз, чо он может сделать?

__________________
ноу криминалити ин раша

16.02.2013, 14:44

#13

sspy

главный злодей гофака

Регистрация: 18.06.2007

Сообщений: 5,737
Бабло: $953848

Цитата:

Сообщение от xealey

sspy, ты хостеру это объясни. или лучше посоветуй адекватного, кому на подобные предъявы пофиг

этот момент лучше напрямую у у хостера уточнять.

Цитата:

Сообщение от Maximus325

Бля, еще раз говорю, мой хостер мега лоялен, но когда ип попадает в спамхауз, чо он может сделать?

в спамхаус просто так ип не попадает, так всё-таки там была малвара или что-то противозаконное или нет ?

проспамь уж до кучи и сайт этой конторы

Цитата:

Сообщение от Longer

Опиши хоть общее направление мысли ...

Если траф редиректит на плохие с точки зрения АВ урлы, то какая разница какая ТДС?

направление мысли в том, что есть такое понятие как сигнатуры, бот видит признаки сутры и паяет сразу +1 к опасности урла

__________________

Последний раз редактировалось sspy; 16.02.2013 в 14:51.

16.02.2013, 14:49	#14
Tosser Yea! Регистрация: 15.02.2008 Сообщений: 2,319 Бабло: $313955	ссылку на SBL покажи __________________

16.02.2013, 15:10	#15
rushter Senior Member Регистрация: 28.11.2009 Сообщений: 1,787 Бабло: $299365	От апостера есть ещё смысл?

16.02.2013, 15:52

#16

Shadefirst

Senior Member

Регистрация: 27.01.2011

Сообщений: 381
Бабло: $89857

Цитата:

Сообщение от sspy

в спамхаус просто так ип не попадает, так всё-таки там была малвара или что-то противозаконное или нет ?

Попадает еще как, даже за простой веб спам.

16.02.2013, 16:08

#17

~~mKostya~~

Ебланнед

Регистрация: 03.04.2007

Сообщений: 3,055
Бабло: $460560

Цитата:

Сообщение от rushter

От апостера есть ещё смысл?

смысл есть, если есть база пиздатая, с пиздатой базой топы по фарме обеспечены

__________________
mKostya = adultmas = euro$ >>> бан

16.02.2013, 16:13

#18

Emil

оК

Регистрация: 03.12.2008

Сообщений: 4,161
Бабло: $739460

Отправить сообщение для Emil с помощью ICQ

Отправить сообщение для Emil с помощью Telegram

Отправить сообщение для Emil с помощью Jabber

Цитата:

Сообщение от Shadefirst

Попадает еще как, даже за простой веб спам.

+1 сейчас даже за парсинг, абузят как хак и если у тебя в базе правительственные сайты, спамхаус залистит без разбора

__________________
❗ ESSAY партнерка #1 - EduCashion.net - Топ конверт, высокие выплаты.

16.02.2013, 16:19

#19

Longer

Хочу обратно ((

Регистрация: 18.04.2007

Сообщений: 3,528
Бабло: $589868

Цитата:

Сообщение от sspy

Серьезно что ли? Т.е. даже если с сайта о цветках сливать на другой сайт о цветках за сутру реально получить метку?

__________________
Супер-хостинг - VPS/VDS от 10 у.е. DrBucks фарма Партнерка - создаем успешных!
Capitalist - платежный сервис в формате "все включено" № 1 Для мобильного трафа

16.02.2013, 16:24	#20
Strikelol Senior Member Регистрация: 31.03.2011 Сообщений: 3,336 Бабло: $669045	ав реагирует на сутру

16.02.2013, 16:27	#21
Tosser Yea! Регистрация: 15.02.2008 Сообщений: 2,319 Бабло: $313955	Рендару достаточно сменить формат in.cgi? на что-то другое по моему, и вопрос решится. __________________