Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Дата
USD/RUB59.2190
BTC/USD0.0000
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 16.02.2013, 14:05   #1
Maximus325
Технодаун
 
Аватар для Maximus325
 
Регистрация: 11.05.2007
Сообщений: 10,036
Бабло: $1443220
По умолчанию Абузят доры из-за Сутры

Короче спамлю русские дорвеи (шмот/казино/адалт) апостерам по гестам.
Не так давно начали приходить жосткие абузы, причем не на спам а на вирусы, типа из-за того что линка ведет на сутру как я понял

Цитата:
From: <[email protected]>
Date: 2013/1/31
Subject: [clean-mx-viruses-9293954](78.108.179.50)-->([email protected])
viruses sites (1 so far) within your network, please close them!
status: As of 2013-01-31 14:27:50 CET
To: [email protected]
Копия: [email protected]


Dear abuse team,

please help to close these offending viruses sites(1) so far.

status: As of 2013-01-31 14:27:50 CET
http://support.clean-mx.de/clean-mx/...response=alive

(for full uri, please scroll to the right end ...


We detected many active cases dated back to 2007, so please look at
the date column below.
You may also subscribe to our MalwareWatch list
http://lists.clean-mx.com/cgi-bin/ma...nfo/viruswatch

This information has been generated out of our comprehensive real time
database, tracking worldwide viruses URI's

most likely also affected pages for these ip may be found via passive dns
please have a look on these other domains correlated to these ip
example: see http://www.bfk.de/bfk_dnslogger.html?query={IP ADRESS}

If your review this list of offending site, please do this carefully,
pay attention for redirects also!
Also, please consider this particular machines may have a root kit installed !
So simply deleting some files or dirs or disabling cgi may not really
solve the issue !

Advice: The appearance of a Virus Site on a server means that
someone intruded into the system. The server's owner should
disconnect and not return the system into service until an
audit is performed to ensure no data was lost, that all OS and
internet software is up to date with the latest security fixes,
and that any backdoors and other exploits left by the intruders
are closed. Logs should be preserved and analyzed and, perhaps,
the appropriate law enforcement agencies notified.

DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY
PROBLEM, THEY WILL BE BACK!

You may forward my information to law enforcement, CERTs,
other responsible admins, or similar agencies.

+-----------------------------------------------------------------------------------------------

|date |id |virusname |ip
|domain |Url|
+-----------------------------------------------------------------------------------------------
|2013-01-31 13:35:35 CET |9293954 |unknown_html
|{IP ADRESS} |DOORWAY.ru
|http://sub.DOORWAY.ru/skachat-igrovo...at-azteca.html
+-----------------------------------------------------------------------------------------------


Your email address has been pulled out of whois concerning this
offending network block(s).
If you are not concerned with anti-fraud measurements, please forward
this mail to the next responsible desk available...


If you just close(d) these incident(s) please give us a feedback, our
automatic walker process may not detect a closed case

explanation of virusnames:
==========================
unknown_html_RFI_php not yet detected by scanners as RFI, but pure
php code for injection
unknown_html_RFI_perl not yet detected by scanners as RFI, but pure
perl code for injection
unknown_html_RFI_eval not yet detected by scanners as RFI, but
suspect javascript obfuscationg evals
unknown_html_RFI not yet detected by scanners as RFI, but
trapped by our honeypots as remote-code-injection
unknown_html not yet detected by scanners as RFI, but suspious, may
be in rare case false positive
unknown_exe not yet detected by scanners as malware, but high risk!
all other names malwarename detected by scanners
==========================


yours

Gerhard W. Recher
(Gesch?ftsf?hrer)

NETpilot GmbH

Wilhelm-Riehl-Str. 13
D-80687 M?nchen

GSM: ++49 171 4802507

Handelsregister M?nchen: HRB 124497
Если погуглить адреса доров по блеклистам и тд то можно найти на сайте семантека каринку со схемой дор-сутра-партнерка и красным флажком с надписью "MALWARE-CNC TDS Sutra - page redirecting to a SutraTDS " и линк http://www.symantec.com/security_res...jsp?asid=25812

Кто сталкивался? Чего делать и как жить дальше?

Хостер очень лояльный, но уже просит переезжать из-за потока абуз.
__________________
ноу криминалити ин раша
Maximus325 на форуме  
Старый 16.02.2013, 14:07   #2
Hector
Статус кво
 
Аватар для Hector
 
Регистрация: 02.05.2008
Адрес: California
Сообщений: 11,253
Бабло: $1447390
Отправить сообщение для Hector с помощью ICQ
По умолчанию

Своя тдс. Твой кэп.
Hector вне форума  
Старый 16.02.2013, 14:08   #3
Maximus325
Технодаун
 
Аватар для Maximus325
 
Регистрация: 11.05.2007
Сообщений: 10,036
Бабло: $1443220
ТС -->
автор темы ТС По умолчанию

Цитата:
Сообщение от Hector Посмотреть сообщение
Своя тдс. Твой кэп.
Кэп, у тебя было такое уже?
__________________
ноу криминалити ин раша
Maximus325 на форуме  
Старый 16.02.2013, 14:10   #4
Hector
Статус кво
 
Аватар для Hector
 
Регистрация: 02.05.2008
Адрес: California
Сообщений: 11,253
Бабло: $1447390
Отправить сообщение для Hector с помощью ICQ
По умолчанию

Нет. Я почикал симпл тдс под себя.
Hector вне форума  
Старый 16.02.2013, 14:12   #5
sspy
главный злодей гофака
 
Аватар для sspy
 
Регистрация: 18.06.2007
Сообщений: 5,299
Бабло: $878553
По умолчанию

Цитата:
Сообщение от Maximus325 Посмотреть сообщение
Не так давно начали приходить жосткие абузы, причем не на спам а на вирусы, типа из-за того что линка ведет на сутру как я понял
это не абуза, а хрень, рассылается роботом без доказательств. найди хостера который не охуел.
sspy на форуме  
Старый 16.02.2013, 14:13   #6
xealey
Senior Member
 
Аватар для xealey
 
Регистрация: 04.09.2007
Сообщений: 1,271
Бабло: $253980
По умолчанию

кто-то предлагал решение шортурлами до и после тдс разбавлять цепочку. или своих доменов повесь по дороге на сутру
__________________
Апарсер охрененен
xealey вне форума  
Старый 16.02.2013, 14:14   #7
Maximus325
Технодаун
 
Аватар для Maximus325
 
Регистрация: 11.05.2007
Сообщений: 10,036
Бабло: $1443220
ТС -->
автор темы ТС По умолчанию

Дык ипы в блек листы попадают, один ип уже в спамхауз влетел.
__________________
ноу криминалити ин раша
Maximus325 на форуме  
Старый 16.02.2013, 14:16   #8
sspy
главный злодей гофака
 
Аватар для sspy
 
Регистрация: 18.06.2007
Сообщений: 5,299
Бабло: $878553
По умолчанию

Цитата:
Сообщение от Maximus325 Посмотреть сообщение
Дык ипы в блек листы попадают, один ип уже в спамхауз влетел.
ну так смотря на что сливаешь, если там нет ничего противозаконного пиши всем что они охуели, т.к. это действительно так. принцип тдс не запрещен ни одним законом ни одной страны.
sspy на форуме  
Старый 16.02.2013, 14:26   #9
xealey
Senior Member
 
Аватар для xealey
 
Регистрация: 04.09.2007
Сообщений: 1,271
Бабло: $253980
По умолчанию

sspy, ты хостеру это объясни. или лучше посоветуй адекватного, кому на подобные предъявы пофиг

стоит ли говорить, что любимец гфб бомонда после второй подобной абузы легко может выключить серв и (по его словам) впаять штраф
__________________
Апарсер охрененен
xealey вне форума  
Старый 16.02.2013, 14:33   #10
Longer
Хочу обратно ((
 
Аватар для Longer
 
Регистрация: 18.04.2007
Сообщений: 3,540
Бабло: $589868
По умолчанию

Цитата:
Сообщение от Hector Посмотреть сообщение
Нет. Я почикал симпл тдс под себя.
Как ? Отключить редирект траффика?

Опиши хоть общее направление мысли ...
Если траф редиректит на плохие с точки зрения АВ урлы, то какая разница какая ТДС?
Longer вне форума  
Закрытая тема



Опции темы
Опции просмотра