Абузят доры из-за Сутры

[Maximus325]

Короче спамлю русские дорвеи (шмот/казино/адалт) апостерам по гестам.
Не так давно начали приходить жосткие абузы, причем не на спам а на вирусы, типа из-за того что линка ведет на сутру как я понял

Цитата:

From: <[email protected]>
Date: 2013/1/31
Subject: [clean-mx-viruses-9293954](78.108.179.50)-->([email protected])
viruses sites (1 so far) within your network, please close them!
status: As of 2013-01-31 14:27:50 CET
To: [email protected]
Копия: [email protected]


Dear abuse team,

please help to close these offending viruses sites(1) so far.

status: As of 2013-01-31 14:27:50 CET
http://support.clean-mx.de/clean-mx/...response=alive

(for full uri, please scroll to the right end ...


We detected many active cases dated back to 2007, so please look at
the date column below.
You may also subscribe to our MalwareWatch list
http://lists.clean-mx.com/cgi-bin/ma...nfo/viruswatch

This information has been generated out of our comprehensive real time
database, tracking worldwide viruses URI's

most likely also affected pages for these ip may be found via passive dns
please have a look on these other domains correlated to these ip
example: see http://www.bfk.de/bfk_dnslogger.html?query={IP ADRESS}

If your review this list of offending site, please do this carefully,
pay attention for redirects also!
Also, please consider this particular machines may have a root kit installed !
So simply deleting some files or dirs or disabling cgi may not really
solve the issue !

Advice: The appearance of a Virus Site on a server means that
someone intruded into the system. The server's owner should
disconnect and not return the system into service until an
audit is performed to ensure no data was lost, that all OS and
internet software is up to date with the latest security fixes,
and that any backdoors and other exploits left by the intruders
are closed. Logs should be preserved and analyzed and, perhaps,
the appropriate law enforcement agencies notified.

DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY
PROBLEM, THEY WILL BE BACK!

You may forward my information to law enforcement, CERTs,
other responsible admins, or similar agencies.

+-----------------------------------------------------------------------------------------------

|date |id |virusname |ip
|domain |Url|
+-----------------------------------------------------------------------------------------------
|2013-01-31 13:35:35 CET |9293954 |unknown_html
|{IP ADRESS} |DOORWAY.ru
|http://sub.DOORWAY.ru/skachat-igrovo...at-azteca.html
+-----------------------------------------------------------------------------------------------


Your email address has been pulled out of whois concerning this
offending network block(s).
If you are not concerned with anti-fraud measurements, please forward
this mail to the next responsible desk available...


If you just close(d) these incident(s) please give us a feedback, our
automatic walker process may not detect a closed case

explanation of virusnames:
==========================
unknown_html_RFI_php not yet detected by scanners as RFI, but pure
php code for injection
unknown_html_RFI_perl not yet detected by scanners as RFI, but pure
perl code for injection
unknown_html_RFI_eval not yet detected by scanners as RFI, but
suspect javascript obfuscationg evals
unknown_html_RFI not yet detected by scanners as RFI, but
trapped by our honeypots as remote-code-injection
unknown_html not yet detected by scanners as RFI, but suspious, may
be in rare case false positive
unknown_exe not yet detected by scanners as malware, but high risk!
all other names malwarename detected by scanners
==========================


yours

Gerhard W. Recher
(Gesch?ftsf?hrer)

NETpilot GmbH

Wilhelm-Riehl-Str. 13
D-80687 M?nchen

GSM: ++49 171 4802507

Handelsregister M?nchen: HRB 124497

Если погуглить адреса доров по блеклистам и тд то можно найти на сайте семантека каринку со схемой дор-сутра-партнерка и красным флажком с надписью "MALWARE-CNC TDS Sutra - page redirecting to a SutraTDS " и линк http://www.symantec.com/security_res...jsp?asid=25812

Кто сталкивался? Чего делать и как жить дальше?

Хостер очень лояльный, но уже просит переезжать из-за потока абуз.

[Zork]

Апну тему. Уже несколько раз приходили абузы от clean-mx.de, ругались на мобильный редирект жаваскриптом. Один раз заблочили айпи - не успел потереть.

Пачка дорвеев большая и в принципе можно заменить все на вызов внешнего скрипта по ssh через find-sed, но фиг его знает поможет ли.

Нагуглил следующую тему, может у кого еще диапазоны есть?

[art]

смена домена... либо через тампакс
рендар, я думаю, запарится менять скрипт

[D007]

Цитата:

Сообщение от sklip

Можно сделать чтобы сутра не палилась ни кем, чтобы даже о ее существовании никто не знал

как?

[Strannic]

Цитата:

Сообщение от D007

как?

+1 хотя помню у кого-то на фарма блоге было описание как прятать тдс, но не помню у кого.

[masolit]

Цитата:

Сообщение от D007

как?

про mod_rewrite слыхали ?

[Sultan]

Цитата:

Сообщение от masolit

про mod_rewrite слыхали ?

щто это такое?

[piarschik]

Цитата:

Сообщение от Zork

Нагуглил следующую тему, может у кого еще диапазоны есть?

Вот за это спасибо, тоже достали эти суки.

[imgreen]

+1 за смену урла

Цитата:

Сообщение от sspy

ну так смотря на что сливаешь, если там нет ничего противозаконного пиши всем что они охуели, т.к. это действительно так. принцип тдс не запрещен ни одним законом ни одной страны.

всем похуй, забанят по сигнатуре и все

[Slom]

Сутра давно уже в списках малвари и прочих гадостей.

Меняйте ТДС.

[iGhost]

Цитата:

Сообщение от Slom

Сутра давно уже в списках малвари и прочих гадостей.

Меняйте ТДС.

а какая есть альтернатива?