API tools faq
paste
Advertisement
Guest User

Untitled

a guest
Feb 22nd, 2017
282
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 23.77 KB | None | 0 0
raw download clone embed print report
  1. Abuse Robot
  2. 20/02/2017 19:07
  3. Здравствуйте!
  4.  
  5. К сожалению вынуждены сообщить, что на Ваш сервер 144.76.16.91 поступила жалоба от Датацентра.
  6.  
  7.  
  8.  
  9. Будьте добры, сообщите нам, пожалуйста, когда Ваши администраторы будут на месте и смогут локализовать проблему.
  10.  
  11. Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).
  12.  
  13. Позвольте обратить Ваше внимание на то, что в случае отсутствия реакции на жалобу, Ваш сервер может быть заблокирован Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет. Просим также сообщить, какие меры были приняты для устранения.
  14.  
  15. С подробностями жалобы Вы можете ознакомиться ниже.
  16.  
  17. Return-Path: <devnull@sorbs.net>
  18. Received: from localhost ([127.0.0.1] helo=mail.hetzner.company) by mail.hetzner.company with esmtp (Exim 4.80) (envelope-from <devnull@sorbs.net>) id 1cfqUq-00021j-LD for blacklist-abuse@hetzner.de; Mon, 20 Feb 2017 17:07:28 +0100
  19. Received: from vmail by mail.hetzner.company with local (Exim 4.80) (envelope-from <devnull@sorbs.net>) id 1cfqUq-00021d-JX for blacklist-abuse@hetzner.de; Mon, 20 Feb 2017 17:07:28 +0100
  20. Received: from [208.84.67.194] (helo=gauntlet.sorbs.net) by mail.hetzner.company with esmtp (Exim 4.80) (envelope-from <devnull@sorbs.net>) id 1cfqUn-0001vK-1S for abuse@hetzner.de; Mon, 20 Feb 2017 17:07:28 +0100
  21. Received: from reports.sorbs.net (localhost [127.0.0.1]) by gauntlet.sorbs.net (Postfix) with ESMTP id BBBFD87EB9C for <abuse@hetzner.de>; Mon, 20 Feb 2017 16:05:10 +0000
  22. Date: Mon, 20 Feb 2017 16:05:10 +0000
  23. From: SORBS Automated Reporting System <reports@sorbs.net>
  24. To: Hetzner Online GmbH <abuse@hetzner.de>
  25. Message-ID: 1cfqUq-00021j-LD@mail.hetzner.company
  26. Subject: [SORBS Abuse Report] Spam Listing created for 144.76.16.91
  27. Mime-Version: 1.0
  28. Content-Type: multipart/report;
  29. boundary="_----------=_1487606710525373";
  30. report-type=feedback-report
  31. Content-Transfer-Encoding: 7bit
  32. Envelope-to: blacklist-abuse@hetzner.de
  33. Delivery-date: Mon, 20 Feb 2017 17:07:28 +0100
  34. X-Sieve: Pigeonhole Sieve 0.4.2
  35. X-Sieve-Redirected-From: abuse-queue@hetzner.de
  36. X-Mailer: MIME::Lite 3.030 (F2.84; T2.04; A2.14; B3.13; Q3.13)
  37. Delivered-To: vmail-blacklist-abuse@hetzner.de
  38.  
  39. This is a multi-part message in MIME format.
  40. --_----------=_1487606710525373
  41. Content-Type: text/plain;
  42. charset=UTF-8
  43. Content-Transfer-Encoding: 7bit
  44. Content-Disposition: inline
  45. Content-ID: <58ab13f2d1b14_74ff3f19e81ee@abuse.your-server.de.mail>
  46.  
  47. Spam Listing created for 144.76.16.91 [Evidence ID: 402979744]
  48.  
  49. Quick links:
  50.  
  51. DB Lookup: http://www.sorbs.net/lookup.shtml?144.76.16.91
  52. Entry Summary: http://www.sorbs.net/cgi-bin/db?button=Check%20Entry&Entry=144.76.16.91
  53. Entry Detail: http://www.sorbs.net/cgi-bin/db?IP=144.76.16.91&view=Detail&type=Spam&button=Show%20Detail%20for&max=102&offset=0
  54. Header Detail (if you have permission): http://www.sorbs.net/cgi-bin/db?IP=144.76.16.91&view=Headers&type=Spam&button=Show%20Headers&HOSTNET=n&ID=402979744
  55. Manage Entry (Support): http://www.sorbs.net/cgi-bin/support?IP=144.76.16.91&type=Spam&blocked=yes&other=&HOSTNET=n&OS=&skill=&stage=3&databutton-Spam-144.76.16.91/32-n=Manage%20Entry
  56.  
  57.  
  58. --_----------=_1487606710525373
  59. Content-Type: message/feedback-report
  60. Content-Transfer-Encoding: 7bit
  61. Content-Disposition: inline
  62. Content-ID: <58ab13f2d1c5b_74ff3f19e8267@abuse.your-server.de.mail>
  63.  
  64. Feedback-Type: abuse
  65. Version: 1
  66. Source-IP: 144.76.16.91
  67. Feedback-Agent: SORBS Automated Email reports (SORBS::Tools::ARF V2014.1.7.12.31.37)
  68. Received-Date: Mon, 20 Feb 2017 16:03:59 +0000
  69.  
  70. --_----------=_1487606710525373
  71. Content-Type: message/rfc822
  72. Content-Transfer-Encoding: quoted-printable
  73. Content-Disposition: inline
  74. Content-ID: <58ab13f2d1d88_74ff3f19e8376@abuse.your-server.de.mail>
  75.  
  76. You do not have permission to see the headers or body of the message in a=
  77. n Email!
  78.  
  79. --_----------=_1487606710525373--
  80.  
  81.  
  82. Spam Listing created for 144.76.16.91 [Evidence ID: 402979744]
  83.  
  84. Quick links:
  85.  
  86. DB Lookup: http://www.sorbs.net/lookup.shtml?144.76.16.91
  87. Entry Summary: http://www.sorbs.net/cgi-bin/db?button=Check%20Entry&Entry=144.76.16.91
  88. Entry Detail: http://www.sorbs.net/cgi-bin/db?IP=144.76.16.91&view=Detail&type=Spam&button=Show%20Detail%20for&max=102&offset=0
  89. Header Detail (if you have permission): http://www.sorbs.net/cgi-bin/db?IP=144.76.16.91&view=Headers&type=Spam&button=Show%20Headers&HOSTNET=n&ID=402979744
  90. Manage Entry (Support): http://www.sorbs.net/cgi-bin/support?IP=144.76.16.91&type=Spam&blocked=yes&other=&HOSTNET=n&OS=&skill=&stage=3&databutton-Spam-144.76.16.91/32-n=Manage%20Entry
  91.  
  92.  
  93.  
  94. Feedback-Type: abuse
  95. Version: 1
  96. Source-IP: 144.76.16.91
  97. Feedback-Agent: SORBS Automated Email reports (SORBS::Tools::ARF V2014.1.7.12.31.37)
  98. Received-Date: Mon, 20 Feb 2017 16:03:59 +0000
  99.  
  100.  
  101. You do not have permission to see the headers or body of the message in an Email!
  102.  
  103. Клиент
  104. 20/02/2017 19:29
  105. Добрый вечер, готовы реагировать на жалобу. Можно ли получить пример письма с нашего сервера? Чтобы понять действительно ли мы отправляем письма или речь идет о каком-то взломе. Возможно ли узнать с какого хоста идут письма? Как нам вообще сейчас реагировать если мы не понимаем проблему?
  106.  
  107. Alexandr Shchiritsa
  108.  
  109. оценка:
  110. 20/02/2017 19:45
  111. Дорогой Роман!
  112.  
  113. Проблема в том, что IP Вашего сервера попал в блеклисты спамфильтров интернета.
  114. Вам необходимо пройти по ссылке http://www.sorbs.net зарегистрироваться, и создать заявку на делистинг IP сервера из блеклиста.
  115.  
  116. Так же, скорее всего сервер инфицирован каким-то вредоносным ПО. Нужно провести его проверку на наличие вирусов и руткитов.
  117. Уточните, пожалуйста, Вы сами сможете её выполнить или Вам нужна помощь наших специалистов?
  118.  
  119. После решения проблемы - пожалуйста, дайте нам знать для закрытия жалобы.
  120.  
  121. Respectfully, Aleksandr Shchiritsa
  122. FASTVPS customer care
  123.  
  124. Клиент
  125. 20/02/2017 20:04
  126. Проверку самостоятельно провести не можем, по нашему мнению (и мнению нашего аутсорс сисадмина) проблем быть не должно. Поэтому, думаю, логично вам проверить сервер.
  127.  
  128. Alexandr Shchiritsa
  129.  
  130. оценка:
  131. 20/02/2017 20:08
  132. Уважаемый клиент,
  133.  
  134. Будьте добры, сообщите нам, пожалуйста, актуальный пароль от услуги.
  135.  
  136. В случае, если Вам требуется помощь с VPS или выделенным сервером под управлением операционной системы Linux - следует предоставить пароль пользователя root.
  137.  
  138. В случае, если речь идет о сервере под управлением Windows - следует предоставить пароль пользователя Administrator.
  139.  
  140. Пароль был выслан в SMS при активации услуги.
  141.  
  142. Если у Вас стоит ограничение на административный доступ к серверу - убедительно просим Вас временно снять данные ограничения.
  143.  
  144. Укажите, пожалуйста, пароль в поле ввода под этим ответом и нажмите "Отправить".
  145.  
  146. Благодарим Вас за обращение в службу технической поддержки!
  147.  
  148. Клиент
  149. 21/02/2017 09:10
  150. Благодарим Вас! Пароль предоставлен.
  151.  
  152. Dmitry Skalenko
  153.  
  154. оценка:
  155. 21/02/2017 11:23
  156. Дорогой Роман!
  157.  
  158. С данным паролем нам не удается зайти на сервер по SSH.
  159.  
  160. Уточните, пожалуйста, стоят ли у Вас какие-то ограничения доступа?
  161.  
  162. Respectfully, Dmitry Skalenko
  163. FASTVPS senior customer care specialist
  164.  
  165. Клиент
  166. 21/02/2017 11:58
  167. Ограничений нет, доступы такие
  168. 144.76.16.91
  169. root
  170. Ul00WsOl
  171.  
  172. Dmitry Skalenko
  173.  
  174. оценка:
  175. 21/02/2017 12:49
  176. Уважаемый Роман!
  177.  
  178. Тикет передан сотрудникам технической поддержки. Вам ответят при первой возможности.
  179.  
  180. Спасибо за выбор FastVPS Eesti OU, оставайтесь с нами!
  181.  
  182. Respectfully, Dmitry Skalenko
  183. FASTVPS senior customer care specialist
  184.  
  185. Oleg Istochkin
  186.  
  187. оценка:
  188. 21/02/2017 15:05
  189. Дорогой Роман!
  190.  
  191. Занимаюсь Вашим вопросом.
  192. Ожидайте, пожалуйста.
  193.  
  194. Respectfully, Oleg Istochkin
  195. FASTVPS technical department
  196.  
  197. Oleg Istochkin
  198.  
  199. оценка:
  200. 21/02/2017 16:41
  201. Уважаемый Роман!
  202.  
  203. На Вашем сервере, в очереди сообщений есть email такого содержания:
  204. vpfan:/tmp# postcat -q D9BBF79ED82D
  205. *** ENVELOPE RECORDS deferred/D/D9BBF79ED82D ***
  206. message_size: 3370 225 1 0 3370
  207. message_arrival_time: Mon Feb 20 23:28:14 2017
  208. create_time: Mon Feb 20 23:28:14 2017
  209. named_attribute: log_message_origin=local
  210. named_attribute: trace_flags=0
  211. sender:
  212. original_recipient: KettieHakesley@jtmarch.com
  213. recipient: KettieHakesley@jtmarch.com
  214. *** MESSAGE CONTENTS deferred/D/D9BBF79ED82D ***
  215. Received: by vpfan.localdomain (Postfix)
  216. id D9BBF79ED82D; Mon, 20 Feb 2017 23:28:14 +0300 (MSK)
  217. Date: Mon, 20 Feb 2017 23:28:14 +0300 (MSK)
  218. From: MAILER-DAEMON@vpfan.localdomain (Mail Delivery System)
  219. Subject: Undelivered Mail Returned to Sender
  220. To: KettieHakesley@jtmarch.com
  221. Auto-Submitted: auto-replied
  222. MIME-Version: 1.0
  223. Content-Type: multipart/report; report-type=delivery-status;
  224. boundary="F1B1E79ED814.1487622494/vpfan.localdomain"
  225. Message-Id: <20170220202814.D9BBF79ED82D@vpfan.localdomain>
  226.  
  227. This is a MIME-encapsulated message.
  228.  
  229. --F1B1E79ED814.1487622494/vpfan.localdomain
  230. Content-Description: Notification
  231. Content-Type: text/plain; charset=us-ascii
  232.  
  233. This is the mail system at host vpfan.localdomain.
  234.  
  235. I'm sorry to have to inform you that your message could not
  236. be delivered to one or more recipients. It's attached below.
  237.  
  238. For further assistance, please send mail to postmaster.
  239.  
  240. If you do so, please include this problem report. You can
  241. delete your own text from the attached returned message.
  242.  
  243. The mail system
  244.  
  245. <blond@wanadoo.com>: mail for wanadoo.com loops back to myself
  246.  
  247. --F1B1E79ED814.1487622494/vpfan.localdomain
  248. Content-Description: Delivery report
  249. Content-Type: message/delivery-status
  250.  
  251. Reporting-MTA: dns; vpfan.localdomain
  252. X-Postfix-Queue-ID: F1B1E79ED814
  253. X-Postfix-Sender: rfc822; KettieHakesley@jtmarch.com
  254. Arrival-Date: Mon, 20 Feb 2017 23:28:13 +0300 (MSK)
  255.  
  256. Final-Recipient: rfc822; blond@wanadoo.com
  257. Original-Recipient: rfc822;blond@wanadoo.com
  258. Action: failed
  259. Status: 5.4.6
  260. Diagnostic-Code: X-Postfix; mail for wanadoo.com loops back to myself
  261.  
  262. --F1B1E79ED814.1487622494/vpfan.localdomain
  263. Content-Description: Undelivered Message
  264. Content-Type: message/rfc822
  265.  
  266. Received: from jtmarch.com (localhost.localdomain [127.0.0.1])
  267. by vpfan.localdomain (Postfix) with ESMTP id F1B1E79ED814
  268. for <blond@wanadoo.com>; Mon, 20 Feb 2017 23:28:13 +0300 (MSK)
  269. Received: by jtmarch.com (Postfix, from uid 3)
  270. id 2445B656D40; Mon, Feb 20 2017 20:01:39 +0000 (UTC)
  271. To: blond@wanadoo.com
  272. From: KettieHakesley@jtmarch.com
  273. Subject: May I call you at 0625935310 ?
  274. MIME-Version: 1.0
  275. Message-Id: <1487620899.2445B656D40@jtmarch.com>
  276. Content-Type: multipart/alternative; boundary="18F286DF25E-562887815"
  277. Date: Mon, Feb 20 2017 20:01:39 +0000 (UTC)
  278.  
  279. --18F286DF25E-562887815
  280. Content-Type: text/plain; charset="iso-8859-1"
  281.  
  282. jean-christophe daniel
  283.  
  284. Recently you ordered pills: 37.5 Mg (90 tablets) from us.
  285.  
  286. Please confirm your phone number and preffered time to call.
  287.  
  288. If you do not want any phone calls just check information about limited offer discount using the link below:
  289.  
  290. http://www144.Blond.xn--h1ahdpjasm7d.xn--p1ai/
  291.  
  292. Jayne Mureika (Customer Support)
  293.  
  294.  
  295. --18F286DF25E-562887815
  296. Content-Type: text/html; charset="iso-8859-1"
  297.  
  298. <html>
  299. <body>
  300. jean-christophe daniel<br>
  301. <br>
  302. Recently you ordered pills: 37.5 Mg (90 tablets) from us.<br>
  303. <br>
  304. Please confirm your phone number and preffered time to call.<br>
  305. <br>
  306. If you do not want any phone calls just check information about limited offer discount using the link below:<br>
  307. <br>
  308. <a href="http://Blond.xn--h1ahdpjasm7d.xn--p1ai/">www144.Blond.xn--h1ahdpjasm7d.xn--p1ai</a><br>
  309. <br>
  310. Jayne Mureika (Customer Support)<br>
  311.  
  312. </body>
  313. </html>
  314.  
  315. Но это не самая большая проблема на Вашем сервере. Как можно видеть далее, на 25-м порту (отвечающим за отправку писем), висит ssh соединение от пользователя icyken:
  316. vpfan:~# lsof -i:25
  317. COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
  318. master 689 root 12u IPv4 14761 TCP *:smtp (LISTEN)
  319. sshd 5974 icyken 4u IPv4 342698841 TCP vpfan.ru:51890->mx6.electric.net:smtp (ESTABLISHED)
  320. smtpd 10841 postfix 6u IPv4 14761 TCP *:smtp (LISTEN)
  321. sshd 25919 icyken 8u IPv4 342676541 TCP vpfan.ru:39363->sc-in-f26.1e100.net:smtp (ESTABLISHED)
  322. sshd 25919 icyken 9u IPv4 342688936 TCP vpfan.ru:39592->sc-in-f26.1e100.net:smtp (ESTABLISHED)
  323. sshd 25919 icyken 10u IPv4 342695524 TCP vpfan.ru:39709->sc-in-f26.1e100.net:smtp (ESTABLISHED)
  324. sshd 25919 icyken 11u IPv4 342693463 TCP vpfan.ru:39694->sc-in-f26.1e100.net:smtp (ESTABLISHED)
  325. sshd 25919 icyken 15u IPv4 342683887 TCP vpfan.ru:39506->sc-in-f26.1e100.net:smtp (ESTABLISHED)
  326. sshd 25919 icyken 16u IPv4 342684079 TCP vpfan.ru:39510->sc-in-f26.1e100.net:smtp (ESTABLISHED)
  327.  
  328. У этого пользователя имеется FTP пользователь test:
  329. test:x:500:502::/var/www/icyken/data/www/gencrm.longcatdev.com:/bin/date
  330.  
  331. Как это обычно бывает, паролем для пользователя test стоит слово test:
  332.  
  333. [FastVPS]: sshpass -p'test' ssh test@144.76.16.91
  334. Warning: Permanently added '144.76.16.91' (RSA) to the list of known hosts.
  335. Linux vpfan 2.6.32-042stab088.4 #1 SMP Thu Apr 3 17:41:05 MSK 2014 i686
  336.  
  337. The programs included with the Debian GNU/Linux system are free software;
  338. the exact distribution terms for each program are described in the
  339. individual files in /usr/share/doc/*/copyright.
  340.  
  341. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
  342. permitted by applicable law.
  343. Last login: Tue Feb 21 16:37:17 2017 from 216.245.222.108
  344. Tue Feb 21 16:38:03 MSK 2017
  345. Connection to 144.76.16.91 closed.
  346.  
  347. Учитывая то что в настройках SSH у Вас разрешён X11Forwarding, это дало возможность тому кто без труда подобрал пароль сделать перенаправление на 25-й порт и рассылать почту через Ваш сервер.
  348.  
  349. Мы настоятельно рекомендуем Вам и Вашему администратору проверить и заменить все слабые пароли на сервере, удалить пользователя test или установить ему нормальный пароль, а также установить такие настройки для SSH сервера:
  350. AllowAgentForwarding no
  351. AllowTcpForwarding no
  352. X11Forwarding no
  353.  
  354. Если у Вас возникнут какие-либо вопросы, обращайтесь, мы с радостью Вам поможем!
  355.  
  356. Respectfully, Oleg Istochkin
  357. FASTVPS technical department
  358.  
  359. Andrey Obuhovsky
  360.  
  361. оценка:
  362. 21/02/2017 17:41
  363. Уважаемый Роман!
  364.  
  365. Уточните, пожалуйста, Вам удалось решить данную проблему?
  366.  
  367. Если проблема уже решается Вами, либо в другом тикете уже решается аналогичная проблема, просьба нас дополнительно проинформировать об этом.
  368. К сожалению, без информации о предпринятых по жалобе мерах мы не можем отправить рапорт в дата-центр, в этом случае дата-центр оставляет за собой право заблокировать Ваш сервер.
  369.  
  370. Мы будем Вам признательны за быстрый ответ!
  371.  
  372. Respectfully, Andrey Obuhovsky
  373. FASTVPS customer care
  374. Клиент
  375. 21/02/2017 17:43
  376. Проблема на данный момент решается, пользователя уже удалили, сейчас применим настройки
  377.  
  378. Oleg Istochkin
  379.  
  380. оценка:
  381. 21/02/2017 17:47
  382. Дорогой Роман!
  383.  
  384. Сообщите нам, пожалуйста, по завершению всех работ.
  385.  
  386. Respectfully, Oleg Istochkin
  387. FASTVPS technical department
  388.  
  389. Клиент
  390. 21/02/2017 17:48
  391. Хорошо
  392.  
  393. Клиент
  394. 21/02/2017 19:24
  395. Выполнили Ваши указания, работы завершили
  396.  
  397. Oleg Istochkin
  398.  
  399. оценка:
  400. 21/02/2017 19:28
  401. Дорогой Роман!
  402.  
  403. Благодарим Вас за содействие !
  404.  
  405. Передаём тикет в отдел по работе с клиентами для закрытия жалобы.
  406.  
  407. Respectfully, Oleg Istochkin
  408. FASTVPS technical department
  409.  
  410. Alexandr Shchiritsa
  411.  
  412. оценка:
  413. 21/02/2017 19:31
  414. Дорогой Роман!
  415.  
  416. К сожалению, IP Вашего сервера все еще находится в блеклисте спамфильтров интернета.
  417. Вам необходимо пройти по ссылке http://www.sorbs.net зарегистрироваться, и создать заявку на делистинг IP сервера из блеклиста.
  418.  
  419. Мы не можем закрыть жалобу, пока IP сервера не будет удален из SORBS.
  420.  
  421.  
  422. We are always glad to help you
  423. Respectfully, Aleksandr Shchiritsa
  424. FASTVPS customer care
  425.  
  426. Alexandr Shchiritsa
  427.  
  428. оценка:
  429. 21/02/2017 22:48
  430. Дорогой Роман!
  431.  
  432. На данный момент нам приходят уведомления из ДЦ о спаме с Вашего сервера.
  433. Проверьте, пожалуйста, решена ли проблема на сервере полностью.
  434.  
  435. Respectfully, Aleksandr Shchiritsa
  436. FASTVPS customer care
  437.  
  438. Клиент
  439. 22/02/2017 09:12
  440. Здравствуйте, мы следовали вашим рекомендациям, странно что проблема не решилась. Не могли бы вы нам помочь узнать источник спама?
  441.  
  442. Andrey Obuhovsky
  443.  
  444. оценка:
  445. 22/02/2017 09:26
  446. Уважаемый клиент,
  447.  
  448. Будьте добры, сообщите нам, пожалуйста, актуальный пароль от услуги.
  449.  
  450. В случае, если Вам требуется помощь с VPS или выделенным сервером под управлением операционной системы Linux - следует предоставить пароль пользователя root.
  451.  
  452. В случае, если речь идет о сервере под управлением Windows - следует предоставить пароль пользователя Administrator.
  453.  
  454. Пароль был выслан в SMS при активации услуги.
  455.  
  456. Если у Вас стоит ограничение на административный доступ к серверу - убедительно просим Вас временно снять данные ограничения.
  457.  
  458. Укажите, пожалуйста, пароль в поле ввода под этим ответом и нажмите "Отправить".
  459.  
  460. Благодарим Вас за обращение в службу технической поддержки!
  461.  
  462. Клиент
  463. 22/02/2017 09:41
  464. Благодарим Вас! Пароль предоставлен.
  465.  
  466. Клиент
  467. 22/02/2017 09:42
  468. Продублирую на всякий случай
  469. 144.76.16.91
  470. root
  471. Ul00WsOl
  472.  
  473. Igor Shokhov
  474.  
  475. оценка:
  476. 22/02/2017 10:49
  477. Уважаемый Роман!
  478.  
  479. Спасибо за Ваше обращение. К сожалению, мы не являемся специалистами в области информационной безопасности и защите серверов от вредоносной активности. В данный момент мы наблюдаем, что на Вашем сервере используется ОС Debian 5, которая уже несколько лет как является устаревшей и не поддерживаемой разработчиками. Также в этой версии ОС используется устаревший PHP версии 5.2.6, который не позволяет запустить современные скрипты для поиска вредоносного ПО. Использование устаревшего и не поддерживаемого ПО само по себе ставит под угрозу безопасность Вашего сервера. Мы крайне рекомендуем Вам запланировать переход на актуальные версии ОС и PHP. Это потребует даунтайма Вашего сервера на 3-4 часа, а также предварительно Вам необходимо убедиться, что все Ваши сайты смогут работать с PHP 5.4, так как в ней содержится большое количество изменений, которые часто нарушают нормальную работу неподготовленных сайтов или и вовсе делают их неработоспособными. Также предварительно Вам необходимо будет сделать полные резервные копии всех важных данных с сервера на стороннее хранилище.
  480.  
  481. Сейчас ручной проверкой были найдены следующие подозрительные файлы:
  482. /var/www/tsop-rm/data/www/tsop-rm-old.ru/bitrix/modules/main/classes/general/update_client.php
  483. /var/www/vev/data/www/vev.by/engine/inc/xfields.upload.php
  484. /var/www/vev/data/www/vev.by/engine/ajax/xfields.upload.php
  485.  
  486. Пожалуйста, проверьте их.
  487.  
  488. Respectfully, Igor Shokhov
  489. FASTVPS technical department
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!