Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Abuse Robot
- 20/02/2017 19:07
- Здравствуйте!
- К сожалению вынуждены сообщить, что на Ваш сервер 144.76.16.91 поступила жалоба от Датацентра.
- Будьте добры, сообщите нам, пожалуйста, когда Ваши администраторы будут на месте и смогут локализовать проблему.
- Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).
- Позвольте обратить Ваше внимание на то, что в случае отсутствия реакции на жалобу, Ваш сервер может быть заблокирован Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет. Просим также сообщить, какие меры были приняты для устранения.
- С подробностями жалобы Вы можете ознакомиться ниже.
- Return-Path: <devnull@sorbs.net>
- Received: from localhost ([127.0.0.1] helo=mail.hetzner.company) by mail.hetzner.company with esmtp (Exim 4.80) (envelope-from <devnull@sorbs.net>) id 1cfqUq-00021j-LD for blacklist-abuse@hetzner.de; Mon, 20 Feb 2017 17:07:28 +0100
- Received: from vmail by mail.hetzner.company with local (Exim 4.80) (envelope-from <devnull@sorbs.net>) id 1cfqUq-00021d-JX for blacklist-abuse@hetzner.de; Mon, 20 Feb 2017 17:07:28 +0100
- Received: from [208.84.67.194] (helo=gauntlet.sorbs.net) by mail.hetzner.company with esmtp (Exim 4.80) (envelope-from <devnull@sorbs.net>) id 1cfqUn-0001vK-1S for abuse@hetzner.de; Mon, 20 Feb 2017 17:07:28 +0100
- Received: from reports.sorbs.net (localhost [127.0.0.1]) by gauntlet.sorbs.net (Postfix) with ESMTP id BBBFD87EB9C for <abuse@hetzner.de>; Mon, 20 Feb 2017 16:05:10 +0000
- Date: Mon, 20 Feb 2017 16:05:10 +0000
- From: SORBS Automated Reporting System <reports@sorbs.net>
- To: Hetzner Online GmbH <abuse@hetzner.de>
- Message-ID: 1cfqUq-00021j-LD@mail.hetzner.company
- Subject: [SORBS Abuse Report] Spam Listing created for 144.76.16.91
- Mime-Version: 1.0
- Content-Type: multipart/report;
- boundary="_----------=_1487606710525373";
- report-type=feedback-report
- Content-Transfer-Encoding: 7bit
- Envelope-to: blacklist-abuse@hetzner.de
- Delivery-date: Mon, 20 Feb 2017 17:07:28 +0100
- X-Sieve: Pigeonhole Sieve 0.4.2
- X-Sieve-Redirected-From: abuse-queue@hetzner.de
- X-Mailer: MIME::Lite 3.030 (F2.84; T2.04; A2.14; B3.13; Q3.13)
- Delivered-To: vmail-blacklist-abuse@hetzner.de
- This is a multi-part message in MIME format.
- --_----------=_1487606710525373
- Content-Type: text/plain;
- charset=UTF-8
- Content-Transfer-Encoding: 7bit
- Content-Disposition: inline
- Content-ID: <58ab13f2d1b14_74ff3f19e81ee@abuse.your-server.de.mail>
- Spam Listing created for 144.76.16.91 [Evidence ID: 402979744]
- Quick links:
- DB Lookup: http://www.sorbs.net/lookup.shtml?144.76.16.91
- Entry Summary: http://www.sorbs.net/cgi-bin/db?button=Check%20Entry&Entry=144.76.16.91
- Entry Detail: http://www.sorbs.net/cgi-bin/db?IP=144.76.16.91&view=Detail&type=Spam&button=Show%20Detail%20for&max=102&offset=0
- Header Detail (if you have permission): http://www.sorbs.net/cgi-bin/db?IP=144.76.16.91&view=Headers&type=Spam&button=Show%20Headers&HOSTNET=n&ID=402979744
- Manage Entry (Support): http://www.sorbs.net/cgi-bin/support?IP=144.76.16.91&type=Spam&blocked=yes&other=&HOSTNET=n&OS=&skill=&stage=3&databutton-Spam-144.76.16.91/32-n=Manage%20Entry
- --_----------=_1487606710525373
- Content-Type: message/feedback-report
- Content-Transfer-Encoding: 7bit
- Content-Disposition: inline
- Content-ID: <58ab13f2d1c5b_74ff3f19e8267@abuse.your-server.de.mail>
- Feedback-Type: abuse
- Version: 1
- Source-IP: 144.76.16.91
- Feedback-Agent: SORBS Automated Email reports (SORBS::Tools::ARF V2014.1.7.12.31.37)
- Received-Date: Mon, 20 Feb 2017 16:03:59 +0000
- --_----------=_1487606710525373
- Content-Type: message/rfc822
- Content-Transfer-Encoding: quoted-printable
- Content-Disposition: inline
- Content-ID: <58ab13f2d1d88_74ff3f19e8376@abuse.your-server.de.mail>
- You do not have permission to see the headers or body of the message in a=
- n Email!
- --_----------=_1487606710525373--
- Spam Listing created for 144.76.16.91 [Evidence ID: 402979744]
- Quick links:
- DB Lookup: http://www.sorbs.net/lookup.shtml?144.76.16.91
- Entry Summary: http://www.sorbs.net/cgi-bin/db?button=Check%20Entry&Entry=144.76.16.91
- Entry Detail: http://www.sorbs.net/cgi-bin/db?IP=144.76.16.91&view=Detail&type=Spam&button=Show%20Detail%20for&max=102&offset=0
- Header Detail (if you have permission): http://www.sorbs.net/cgi-bin/db?IP=144.76.16.91&view=Headers&type=Spam&button=Show%20Headers&HOSTNET=n&ID=402979744
- Manage Entry (Support): http://www.sorbs.net/cgi-bin/support?IP=144.76.16.91&type=Spam&blocked=yes&other=&HOSTNET=n&OS=&skill=&stage=3&databutton-Spam-144.76.16.91/32-n=Manage%20Entry
- Feedback-Type: abuse
- Version: 1
- Source-IP: 144.76.16.91
- Feedback-Agent: SORBS Automated Email reports (SORBS::Tools::ARF V2014.1.7.12.31.37)
- Received-Date: Mon, 20 Feb 2017 16:03:59 +0000
- You do not have permission to see the headers or body of the message in an Email!
- Клиент
- 20/02/2017 19:29
- Добрый вечер, готовы реагировать на жалобу. Можно ли получить пример письма с нашего сервера? Чтобы понять действительно ли мы отправляем письма или речь идет о каком-то взломе. Возможно ли узнать с какого хоста идут письма? Как нам вообще сейчас реагировать если мы не понимаем проблему?
- Alexandr Shchiritsa
- оценка:
- 20/02/2017 19:45
- Дорогой Роман!
- Проблема в том, что IP Вашего сервера попал в блеклисты спамфильтров интернета.
- Вам необходимо пройти по ссылке http://www.sorbs.net зарегистрироваться, и создать заявку на делистинг IP сервера из блеклиста.
- Так же, скорее всего сервер инфицирован каким-то вредоносным ПО. Нужно провести его проверку на наличие вирусов и руткитов.
- Уточните, пожалуйста, Вы сами сможете её выполнить или Вам нужна помощь наших специалистов?
- После решения проблемы - пожалуйста, дайте нам знать для закрытия жалобы.
- Respectfully, Aleksandr Shchiritsa
- FASTVPS customer care
- Клиент
- 20/02/2017 20:04
- Проверку самостоятельно провести не можем, по нашему мнению (и мнению нашего аутсорс сисадмина) проблем быть не должно. Поэтому, думаю, логично вам проверить сервер.
- Alexandr Shchiritsa
- оценка:
- 20/02/2017 20:08
- Уважаемый клиент,
- Будьте добры, сообщите нам, пожалуйста, актуальный пароль от услуги.
- В случае, если Вам требуется помощь с VPS или выделенным сервером под управлением операционной системы Linux - следует предоставить пароль пользователя root.
- В случае, если речь идет о сервере под управлением Windows - следует предоставить пароль пользователя Administrator.
- Пароль был выслан в SMS при активации услуги.
- Если у Вас стоит ограничение на административный доступ к серверу - убедительно просим Вас временно снять данные ограничения.
- Укажите, пожалуйста, пароль в поле ввода под этим ответом и нажмите "Отправить".
- Благодарим Вас за обращение в службу технической поддержки!
- Клиент
- 21/02/2017 09:10
- Благодарим Вас! Пароль предоставлен.
- Dmitry Skalenko
- оценка:
- 21/02/2017 11:23
- Дорогой Роман!
- С данным паролем нам не удается зайти на сервер по SSH.
- Уточните, пожалуйста, стоят ли у Вас какие-то ограничения доступа?
- Respectfully, Dmitry Skalenko
- FASTVPS senior customer care specialist
- Клиент
- 21/02/2017 11:58
- Ограничений нет, доступы такие
- 144.76.16.91
- root
- Ul00WsOl
- Dmitry Skalenko
- оценка:
- 21/02/2017 12:49
- Уважаемый Роман!
- Тикет передан сотрудникам технической поддержки. Вам ответят при первой возможности.
- Спасибо за выбор FastVPS Eesti OU, оставайтесь с нами!
- Respectfully, Dmitry Skalenko
- FASTVPS senior customer care specialist
- Oleg Istochkin
- оценка:
- 21/02/2017 15:05
- Дорогой Роман!
- Занимаюсь Вашим вопросом.
- Ожидайте, пожалуйста.
- Respectfully, Oleg Istochkin
- FASTVPS technical department
- Oleg Istochkin
- оценка:
- 21/02/2017 16:41
- Уважаемый Роман!
- На Вашем сервере, в очереди сообщений есть email такого содержания:
- vpfan:/tmp# postcat -q D9BBF79ED82D
- *** ENVELOPE RECORDS deferred/D/D9BBF79ED82D ***
- message_size: 3370 225 1 0 3370
- message_arrival_time: Mon Feb 20 23:28:14 2017
- create_time: Mon Feb 20 23:28:14 2017
- named_attribute: log_message_origin=local
- named_attribute: trace_flags=0
- sender:
- original_recipient: KettieHakesley@jtmarch.com
- recipient: KettieHakesley@jtmarch.com
- *** MESSAGE CONTENTS deferred/D/D9BBF79ED82D ***
- Received: by vpfan.localdomain (Postfix)
- id D9BBF79ED82D; Mon, 20 Feb 2017 23:28:14 +0300 (MSK)
- Date: Mon, 20 Feb 2017 23:28:14 +0300 (MSK)
- From: MAILER-DAEMON@vpfan.localdomain (Mail Delivery System)
- Subject: Undelivered Mail Returned to Sender
- To: KettieHakesley@jtmarch.com
- Auto-Submitted: auto-replied
- MIME-Version: 1.0
- Content-Type: multipart/report; report-type=delivery-status;
- boundary="F1B1E79ED814.1487622494/vpfan.localdomain"
- Message-Id: <20170220202814.D9BBF79ED82D@vpfan.localdomain>
- This is a MIME-encapsulated message.
- --F1B1E79ED814.1487622494/vpfan.localdomain
- Content-Description: Notification
- Content-Type: text/plain; charset=us-ascii
- This is the mail system at host vpfan.localdomain.
- I'm sorry to have to inform you that your message could not
- be delivered to one or more recipients. It's attached below.
- For further assistance, please send mail to postmaster.
- If you do so, please include this problem report. You can
- delete your own text from the attached returned message.
- The mail system
- <blond@wanadoo.com>: mail for wanadoo.com loops back to myself
- --F1B1E79ED814.1487622494/vpfan.localdomain
- Content-Description: Delivery report
- Content-Type: message/delivery-status
- Reporting-MTA: dns; vpfan.localdomain
- X-Postfix-Queue-ID: F1B1E79ED814
- X-Postfix-Sender: rfc822; KettieHakesley@jtmarch.com
- Arrival-Date: Mon, 20 Feb 2017 23:28:13 +0300 (MSK)
- Final-Recipient: rfc822; blond@wanadoo.com
- Original-Recipient: rfc822;blond@wanadoo.com
- Action: failed
- Status: 5.4.6
- Diagnostic-Code: X-Postfix; mail for wanadoo.com loops back to myself
- --F1B1E79ED814.1487622494/vpfan.localdomain
- Content-Description: Undelivered Message
- Content-Type: message/rfc822
- Received: from jtmarch.com (localhost.localdomain [127.0.0.1])
- by vpfan.localdomain (Postfix) with ESMTP id F1B1E79ED814
- for <blond@wanadoo.com>; Mon, 20 Feb 2017 23:28:13 +0300 (MSK)
- Received: by jtmarch.com (Postfix, from uid 3)
- id 2445B656D40; Mon, Feb 20 2017 20:01:39 +0000 (UTC)
- To: blond@wanadoo.com
- From: KettieHakesley@jtmarch.com
- Subject: May I call you at 0625935310 ?
- MIME-Version: 1.0
- Message-Id: <1487620899.2445B656D40@jtmarch.com>
- Content-Type: multipart/alternative; boundary="18F286DF25E-562887815"
- Date: Mon, Feb 20 2017 20:01:39 +0000 (UTC)
- --18F286DF25E-562887815
- Content-Type: text/plain; charset="iso-8859-1"
- jean-christophe daniel
- Recently you ordered pills: 37.5 Mg (90 tablets) from us.
- Please confirm your phone number and preffered time to call.
- If you do not want any phone calls just check information about limited offer discount using the link below:
- http://www144.Blond.xn--h1ahdpjasm7d.xn--p1ai/
- Jayne Mureika (Customer Support)
- --18F286DF25E-562887815
- Content-Type: text/html; charset="iso-8859-1"
- <html>
- <body>
- jean-christophe daniel<br>
- <br>
- Recently you ordered pills: 37.5 Mg (90 tablets) from us.<br>
- <br>
- Please confirm your phone number and preffered time to call.<br>
- <br>
- If you do not want any phone calls just check information about limited offer discount using the link below:<br>
- <br>
- <a href="http://Blond.xn--h1ahdpjasm7d.xn--p1ai/">www144.Blond.xn--h1ahdpjasm7d.xn--p1ai</a><br>
- <br>
- Jayne Mureika (Customer Support)<br>
- </body>
- </html>
- Но это не самая большая проблема на Вашем сервере. Как можно видеть далее, на 25-м порту (отвечающим за отправку писем), висит ssh соединение от пользователя icyken:
- vpfan:~# lsof -i:25
- COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
- master 689 root 12u IPv4 14761 TCP *:smtp (LISTEN)
- sshd 5974 icyken 4u IPv4 342698841 TCP vpfan.ru:51890->mx6.electric.net:smtp (ESTABLISHED)
- smtpd 10841 postfix 6u IPv4 14761 TCP *:smtp (LISTEN)
- sshd 25919 icyken 8u IPv4 342676541 TCP vpfan.ru:39363->sc-in-f26.1e100.net:smtp (ESTABLISHED)
- sshd 25919 icyken 9u IPv4 342688936 TCP vpfan.ru:39592->sc-in-f26.1e100.net:smtp (ESTABLISHED)
- sshd 25919 icyken 10u IPv4 342695524 TCP vpfan.ru:39709->sc-in-f26.1e100.net:smtp (ESTABLISHED)
- sshd 25919 icyken 11u IPv4 342693463 TCP vpfan.ru:39694->sc-in-f26.1e100.net:smtp (ESTABLISHED)
- sshd 25919 icyken 15u IPv4 342683887 TCP vpfan.ru:39506->sc-in-f26.1e100.net:smtp (ESTABLISHED)
- sshd 25919 icyken 16u IPv4 342684079 TCP vpfan.ru:39510->sc-in-f26.1e100.net:smtp (ESTABLISHED)
- У этого пользователя имеется FTP пользователь test:
- test:x:500:502::/var/www/icyken/data/www/gencrm.longcatdev.com:/bin/date
- Как это обычно бывает, паролем для пользователя test стоит слово test:
- [FastVPS]: sshpass -p'test' ssh test@144.76.16.91
- Warning: Permanently added '144.76.16.91' (RSA) to the list of known hosts.
- Linux vpfan 2.6.32-042stab088.4 #1 SMP Thu Apr 3 17:41:05 MSK 2014 i686
- The programs included with the Debian GNU/Linux system are free software;
- the exact distribution terms for each program are described in the
- individual files in /usr/share/doc/*/copyright.
- Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
- permitted by applicable law.
- Last login: Tue Feb 21 16:37:17 2017 from 216.245.222.108
- Tue Feb 21 16:38:03 MSK 2017
- Connection to 144.76.16.91 closed.
- Учитывая то что в настройках SSH у Вас разрешён X11Forwarding, это дало возможность тому кто без труда подобрал пароль сделать перенаправление на 25-й порт и рассылать почту через Ваш сервер.
- Мы настоятельно рекомендуем Вам и Вашему администратору проверить и заменить все слабые пароли на сервере, удалить пользователя test или установить ему нормальный пароль, а также установить такие настройки для SSH сервера:
- AllowAgentForwarding no
- AllowTcpForwarding no
- X11Forwarding no
- Если у Вас возникнут какие-либо вопросы, обращайтесь, мы с радостью Вам поможем!
- Respectfully, Oleg Istochkin
- FASTVPS technical department
- Andrey Obuhovsky
- оценка:
- 21/02/2017 17:41
- Уважаемый Роман!
- Уточните, пожалуйста, Вам удалось решить данную проблему?
- Если проблема уже решается Вами, либо в другом тикете уже решается аналогичная проблема, просьба нас дополнительно проинформировать об этом.
- К сожалению, без информации о предпринятых по жалобе мерах мы не можем отправить рапорт в дата-центр, в этом случае дата-центр оставляет за собой право заблокировать Ваш сервер.
- Мы будем Вам признательны за быстрый ответ!
- Respectfully, Andrey Obuhovsky
- FASTVPS customer care
- Клиент
- 21/02/2017 17:43
- Проблема на данный момент решается, пользователя уже удалили, сейчас применим настройки
- Oleg Istochkin
- оценка:
- 21/02/2017 17:47
- Дорогой Роман!
- Сообщите нам, пожалуйста, по завершению всех работ.
- Respectfully, Oleg Istochkin
- FASTVPS technical department
- Клиент
- 21/02/2017 17:48
- Хорошо
- Клиент
- 21/02/2017 19:24
- Выполнили Ваши указания, работы завершили
- Oleg Istochkin
- оценка:
- 21/02/2017 19:28
- Дорогой Роман!
- Благодарим Вас за содействие !
- Передаём тикет в отдел по работе с клиентами для закрытия жалобы.
- Respectfully, Oleg Istochkin
- FASTVPS technical department
- Alexandr Shchiritsa
- оценка:
- 21/02/2017 19:31
- Дорогой Роман!
- К сожалению, IP Вашего сервера все еще находится в блеклисте спамфильтров интернета.
- Вам необходимо пройти по ссылке http://www.sorbs.net зарегистрироваться, и создать заявку на делистинг IP сервера из блеклиста.
- Мы не можем закрыть жалобу, пока IP сервера не будет удален из SORBS.
- We are always glad to help you
- Respectfully, Aleksandr Shchiritsa
- FASTVPS customer care
- Alexandr Shchiritsa
- оценка:
- 21/02/2017 22:48
- Дорогой Роман!
- На данный момент нам приходят уведомления из ДЦ о спаме с Вашего сервера.
- Проверьте, пожалуйста, решена ли проблема на сервере полностью.
- Respectfully, Aleksandr Shchiritsa
- FASTVPS customer care
- Клиент
- 22/02/2017 09:12
- Здравствуйте, мы следовали вашим рекомендациям, странно что проблема не решилась. Не могли бы вы нам помочь узнать источник спама?
- Andrey Obuhovsky
- оценка:
- 22/02/2017 09:26
- Уважаемый клиент,
- Будьте добры, сообщите нам, пожалуйста, актуальный пароль от услуги.
- В случае, если Вам требуется помощь с VPS или выделенным сервером под управлением операционной системы Linux - следует предоставить пароль пользователя root.
- В случае, если речь идет о сервере под управлением Windows - следует предоставить пароль пользователя Administrator.
- Пароль был выслан в SMS при активации услуги.
- Если у Вас стоит ограничение на административный доступ к серверу - убедительно просим Вас временно снять данные ограничения.
- Укажите, пожалуйста, пароль в поле ввода под этим ответом и нажмите "Отправить".
- Благодарим Вас за обращение в службу технической поддержки!
- Клиент
- 22/02/2017 09:41
- Благодарим Вас! Пароль предоставлен.
- Клиент
- 22/02/2017 09:42
- Продублирую на всякий случай
- 144.76.16.91
- root
- Ul00WsOl
- Igor Shokhov
- оценка:
- 22/02/2017 10:49
- Уважаемый Роман!
- Спасибо за Ваше обращение. К сожалению, мы не являемся специалистами в области информационной безопасности и защите серверов от вредоносной активности. В данный момент мы наблюдаем, что на Вашем сервере используется ОС Debian 5, которая уже несколько лет как является устаревшей и не поддерживаемой разработчиками. Также в этой версии ОС используется устаревший PHP версии 5.2.6, который не позволяет запустить современные скрипты для поиска вредоносного ПО. Использование устаревшего и не поддерживаемого ПО само по себе ставит под угрозу безопасность Вашего сервера. Мы крайне рекомендуем Вам запланировать переход на актуальные версии ОС и PHP. Это потребует даунтайма Вашего сервера на 3-4 часа, а также предварительно Вам необходимо убедиться, что все Ваши сайты смогут работать с PHP 5.4, так как в ней содержится большое количество изменений, которые часто нарушают нормальную работу неподготовленных сайтов или и вовсе делают их неработоспособными. Также предварительно Вам необходимо будет сделать полные резервные копии всех важных данных с сервера на стороннее хранилище.
- Сейчас ручной проверкой были найдены следующие подозрительные файлы:
- /var/www/tsop-rm/data/www/tsop-rm-old.ru/bitrix/modules/main/classes/general/update_client.php
- /var/www/vev/data/www/vev.by/engine/inc/xfields.upload.php
- /var/www/vev/data/www/vev.by/engine/ajax/xfields.upload.php
- Пожалуйста, проверьте их.
- Respectfully, Igor Shokhov
- FASTVPS technical department
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement