БлогNot. Атака на этот домен и отключение ряда сервисов

Помощь дата->рейтинг Поиск Почта RSS канал Статистика nickolay.info Домой

Атака на этот домен и отключение ряда сервисов

22 ноября на несколько часов все сервисы домена были отключены по подозрению на взлом и/или "дыру", позволившую сделать массовую рассылку спама через мой SMTP.

Вот какие типовые меры рекомендует в этом случае хостер:

1. Проверить все компьютеры, которые имеют доступ к Вашему FTP-аккаунту, на наличие вирусов.
2. Сменить пароль на все FTP-аккаунты в панели управления.
3. Исследовать контент аккаунта на наличие чужого кода/файлов.
4. В случае невозможности впоследствии исправить ущерб контенту и/или базе данных (если оный имеет место быть), нанесенный вирусом, необходимо заказать восстановление данных аккаунта из панели управления (бэкап данных доступен за последние 7 дней с текущего момента).
5. Обновить программное обеспечение, на котором работают Ваши сайты (в случае, если это какой-либо готовый движок).
6. Устранить возможные дыры в ПО, обслуживающем Ваш сайт (в случае, если сайты обслуживаются самописным кодом).

Что примерно и сделано:

А как узнать подробнее, что за спам и откуда именно была активность?
В последние несколько дней замечал на счётчике, что много одновременных сессий к сайту, но не придал значения, подумал, что ошибка.
Из текста следует, что по почте, но там только один скрипт, который это может. Он защищён и проблем с ним не возникало. Но до выяснения пока убрал с хостинга (mailer.kislenko.net)
Еще обнаружил, что за последние несколько дней заспамлен форум (phpbb 2.сколькото, forum.kislenko.net) - порядка 4000 сообщений - это считается? Насколько я понимаю, сделать через него рассылку нельзя, можно только нагрузить сервер. Тем не менее, форум убрал с хостинга до выяснения, сейчас он неактуален. Нужные 20-30 сообщений потом заберу из базы вручную или скопирую на локалхост.
По пунктам:
1. Доступ к аккаунту с одного компа, на нём вирусов нет, лицензионный антивирус, постоянно все проверяется.
2. Пароли все сменил. Почтовых аккаунтов на хостинге нет.
3. Посторонних или изменённых файлов не найдено, разве sh.core в субдомене mailer но он старый
4. База цела
5. Движков по убиении phpBB 2.X нет
6. Тут ничего никогда гарантировать нельзя, но других проблем, кроме вышеописанных, не обнаружил. Больше информации - стало б понятней. В логах чисто. Пароль доступа к "самописному" админскрипту тоже сменил.
Если есть техническая возможность, прошу сообщить дополнительную информацию. Если приведённых действий достаточно, прошу разблокировать сайт.

По крайней мере, форум точно был заспамлен примерно 4 с половиной тысячами спамерских сообщений, получается, считать в настоящее время надёжным движок PHPbb 2.X уже нельзя, не помогла и текстовая капча.

В общем, вот список временно или надолго (будет ли время разобраться?) отключённых сервисов домена:

По числу одновременно открытых сессий вроде

Пользователей онлайн: 267

видно, что атака продолжается, но, вроде бы, нагрузка штатная :)

P.S. 19/02/2015 счетчик посетителей онлайн отключен для уменьшения нагрузки на сервер

 Скриншот покойного форума :) (312 Кб)


теги: email безопасность блог спам хостинг

25.11.2012, 21:18; рейтинг: 9781

  свежие записипоиск по блогукомментариистатистикао "вирусах" в архивах .zip

Наверх Яндекс.Метрика
© PerS
вход