|
| Дата |
|
USD/RUB | 93.4409 | BTC/USD | 66352.7491 |
|
|
|
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии. |
16.02.2013, 14:05
|
#1
|
Технодаун
Регистрация: 11.05.2007
Сообщений: 10,384
Бабло: $1503235
|
Абузят доры из-за Сутры
Короче спамлю русские дорвеи (шмот/казино/адалт) апостерам по гестам.
Не так давно начали приходить жосткие абузы, причем не на спам а на вирусы, типа из-за того что линка ведет на сутру как я понял
Цитата:
From: <[email protected]>
Date: 2013/1/31
Subject: [clean-mx-viruses-9293954](78.108.179.50)-->([email protected])
viruses sites (1 so far) within your network, please close them!
status: As of 2013-01-31 14:27:50 CET
To: [email protected]
Копия: [email protected]
Dear abuse team,
please help to close these offending viruses sites(1) so far.
status: As of 2013-01-31 14:27:50 CET
http://support.clean-mx.de/clean-mx/...response=alive
(for full uri, please scroll to the right end ...
We detected many active cases dated back to 2007, so please look at
the date column below.
You may also subscribe to our MalwareWatch list
http://lists.clean-mx.com/cgi-bin/ma...nfo/viruswatch
This information has been generated out of our comprehensive real time
database, tracking worldwide viruses URI's
most likely also affected pages for these ip may be found via passive dns
please have a look on these other domains correlated to these ip
example: see http://www.bfk.de/bfk_dnslogger.html?query={IP ADRESS}
If your review this list of offending site, please do this carefully,
pay attention for redirects also!
Also, please consider this particular machines may have a root kit installed !
So simply deleting some files or dirs or disabling cgi may not really
solve the issue !
Advice: The appearance of a Virus Site on a server means that
someone intruded into the system. The server's owner should
disconnect and not return the system into service until an
audit is performed to ensure no data was lost, that all OS and
internet software is up to date with the latest security fixes,
and that any backdoors and other exploits left by the intruders
are closed. Logs should be preserved and analyzed and, perhaps,
the appropriate law enforcement agencies notified.
DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY
PROBLEM, THEY WILL BE BACK!
You may forward my information to law enforcement, CERTs,
other responsible admins, or similar agencies.
+-----------------------------------------------------------------------------------------------
|date |id |virusname |ip
|domain |Url|
+-----------------------------------------------------------------------------------------------
|2013-01-31 13:35:35 CET |9293954 |unknown_html
|{IP ADRESS} |DOORWAY.ru
|http://sub.DOORWAY.ru/skachat-igrovo...at-azteca.html
+-----------------------------------------------------------------------------------------------
Your email address has been pulled out of whois concerning this
offending network block(s).
If you are not concerned with anti-fraud measurements, please forward
this mail to the next responsible desk available...
If you just close(d) these incident(s) please give us a feedback, our
automatic walker process may not detect a closed case
explanation of virusnames:
==========================
unknown_html_RFI_php not yet detected by scanners as RFI, but pure
php code for injection
unknown_html_RFI_perl not yet detected by scanners as RFI, but pure
perl code for injection
unknown_html_RFI_eval not yet detected by scanners as RFI, but
suspect javascript obfuscationg evals
unknown_html_RFI not yet detected by scanners as RFI, but
trapped by our honeypots as remote-code-injection
unknown_html not yet detected by scanners as RFI, but suspious, may
be in rare case false positive
unknown_exe not yet detected by scanners as malware, but high risk!
all other names malwarename detected by scanners
==========================
yours
Gerhard W. Recher
(Gesch?ftsf?hrer)
NETpilot GmbH
Wilhelm-Riehl-Str. 13
D-80687 M?nchen
GSM: ++49 171 4802507
Handelsregister M?nchen: HRB 124497
|
Если погуглить адреса доров по блеклистам и тд то можно найти на сайте семантека каринку со схемой дор-сутра-партнерка и красным флажком с надписью "MALWARE-CNC TDS Sutra - page redirecting to a SutraTDS " и линк http://www.symantec.com/security_res...jsp?asid=25812
Кто сталкивался? Чего делать и как жить дальше?
Хостер очень лояльный, но уже просит переезжать из-за потока абуз.
__________________
ноу криминалити ин раша
|
|
|
16.02.2013, 14:07
|
#2
|
hustle
Регистрация: 02.05.2008
Адрес: 3d world
Сообщений: 12,890
Бабло: $1717315
|
Своя тдс. Твой кэп.
|
|
|
16.02.2013, 14:08
|
#3
|
Технодаун
Регистрация: 11.05.2007
Сообщений: 10,384
Бабло: $1503235
ТС -->
|
ТС
Цитата:
Сообщение от Hector
Своя тдс. Твой кэп.
|
Кэп, у тебя было такое уже?
__________________
ноу криминалити ин раша
|
|
|
16.02.2013, 14:10
|
#4
|
hustle
Регистрация: 02.05.2008
Адрес: 3d world
Сообщений: 12,890
Бабло: $1717315
|
Нет. Я почикал симпл тдс под себя.
|
|
|
16.02.2013, 14:12
|
#5
|
главный злодей гофака
Регистрация: 18.06.2007
Сообщений: 5,760
Бабло: $953638
|
Цитата:
Сообщение от Maximus325
Не так давно начали приходить жосткие абузы, причем не на спам а на вирусы, типа из-за того что линка ведет на сутру как я понял
|
это не абуза, а хрень, рассылается роботом без доказательств. найди хостера который не охуел.
__________________
|
|
|
16.02.2013, 14:13
|
#6
|
Senior Member
Регистрация: 04.09.2007
Сообщений: 1,267
Бабло: $254000
|
кто-то предлагал решение шортурлами до и после тдс разбавлять цепочку. или своих доменов повесь по дороге на сутру
__________________
Апарсер охрененен
|
|
|
16.02.2013, 14:14
|
#7
|
Технодаун
Регистрация: 11.05.2007
Сообщений: 10,384
Бабло: $1503235
ТС -->
|
ТС
Дык ипы в блек листы попадают, один ип уже в спамхауз влетел.
__________________
ноу криминалити ин раша
|
|
|
16.02.2013, 14:16
|
#8
|
главный злодей гофака
Регистрация: 18.06.2007
Сообщений: 5,760
Бабло: $953638
|
Цитата:
Сообщение от Maximus325
Дык ипы в блек листы попадают, один ип уже в спамхауз влетел.
|
ну так смотря на что сливаешь, если там нет ничего противозаконного пиши всем что они охуели, т.к. это действительно так. принцип тдс не запрещен ни одним законом ни одной страны.
__________________
|
|
|
16.02.2013, 14:26
|
#9
|
Senior Member
Регистрация: 04.09.2007
Сообщений: 1,267
Бабло: $254000
|
sspy, ты хостеру это объясни. или лучше посоветуй адекватного, кому на подобные предъявы пофиг
стоит ли говорить, что любимец гфб бомонда после второй подобной абузы легко может выключить серв и (по его словам) впаять штраф
__________________
Апарсер охрененен
|
|
|
16.02.2013, 14:33
|
#10
|
Хочу обратно ((
Регистрация: 18.04.2007
Сообщений: 3,532
Бабло: $589868
|
Цитата:
Сообщение от Hector
Нет. Я почикал симпл тдс под себя.
|
Как ? Отключить редирект траффика?
Опиши хоть общее направление мысли ...
Если траф редиректит на плохие с точки зрения АВ урлы, то какая разница какая ТДС?
|
|
|
|