датацентр Бункер

http://bunker-datacenter.com/ – на веб-камере отчетливо видно, что что-то бегает по полу, тараканы? 😀


Теги: , , ,

Чистка файлов от iframe вставок

По мотивам предыдущей заметки =)

Итак, если ваш сайт взломан или подобран пароль к вашему фтп-аккаунту и в некоторых (или во всех) файлах присутствует вражеский код iframe – самое время заняться чисткой.

Обнаружение противника

Для начала вражеский код нужно обнаружить. Самый безопасный и правильный подход – найти подозрительные участки кода в зараженных файлах и детерминировать их как вредоносные.

find . -name "*.php*" -or -name "*.*htm*" -exec grep "iframe" {} \; -print | less

В результате вы увидите код ифреймов и пути к зараженным файлам:

<iframe src=»site.ru» width=»0″></iframe>
/root/temp/3/1.htm
<iframe src=»site.ru» width=»0″></iframe>
/root/temp/3/1.shtml
<iframe src=»site.ru» width=»0″></iframe>
/root/temp/3/1.html

Если не хотите видеть путь к файлам (в принципе, на данном этапе он и не нужен), уберите ключ -print.

Читать остальную часть заметки »


Теги: , , , , , , , , , , , , , ,

Борьба, а точнее, неборьба со спамом.

Почему у нас процветает и приносит большие доходы такая услуга, как рассылка спама? Да потому что у нас нихера не делается против спаммеров. Нормальных законов, чтобы осудить спаммеров, у нас нет, официальных расследований никто не ведет, регистраторы и хостеры ложат х*й на спаммеров, им лишь бы денюжку платили и все.

Для примера можно рассмотреть один спаммерский сайт: http://rdl.kiev.ua/

Проведем расследование.

Где находится?

~> dig rdl.kiev.ua

;; ANSWER SECTION:
rdl.kiev.ua.            3600    IN      A       62.149.9.89

Кому принадлежит IP-адрес? (т.е. где фактически размещен сайт)

~> whois 62.149.9.89

inetnum:        62.149.9.0 — 62.149.9.255
netname:        COLO-CC9-KIEV
descr:          Servers pool #9
country:        UA
admin-c:        COLO3-RIPE
tech-c:         COLO2-RIPE
status:         ASSIGNED PA
mnt-by:         AS15497-MNT
source:         RIPE # Filtered

Всем известная компания Colocall (КолоКАЛ 🙂 , шутка)) )

Где регистрировали домен и кто владелец?

~> whois rdl.kiev.ua

domain:     rdl.kiev.ua
admin-c:    XA1-UANIC
tech-c:     NIC-UANIC

% Administrative Contact:
nic-handle:     XA1-UANIC
person:         Максим Сергеевич Ненька
address:        Гончара, 33
address:        456982 КИЕВ
address:        UA
e-mail:         XA-XAKER@mail.ru

% Technical Contact:
nic-handle:     NIC-UANIC
organization:   Service Online LLC
address:        P/O BOX, 147
address:        04050 KYIV
address:        UA
phone:          +380 (44) 5937569
fax-no:         +380 (56) 7219434
e-mail:         drs@cunic.ua
url:            hxxp://nic.ua
org-id:         3038208838
mnt-by:         NONE
remark:         —
remark:         phone: 8-900-111-22-22 (Ukraine Only)
remark:         fax-machine: +380 44 5937569 (Intnl)
remark:         Feedback: hxxp://nic.ua/rus/support.html
remark:         Copyright (c) NIC.UA 2001-2007
remark:         —
changed:        NIC-UANIC 20090116182217
source:         UANIC

Кому бы написать?

abuse-mailbox:  abuse@colocall.net – взят из последней команды

rdl.ua@ua.fm – взят на сайте спаммеров, по сему еще одно письмо в техподдержку i.ua (т.к. ua.fm теперь принадлежит им)

info@hostmaster.net.ua, hostmaster@kiev.ua – не забываем всеми любимого великого Хостмастера, который собственно рулит зонами

Service Online LLC – регистратор — drs@cunic.ua

Результаты

Первыми отозвалась техподдержка Колокала:

Hello,
Customer has been warned.

Warned? И все???

Переписка

Я:
warned? Без обид, но таких клиентов нужно гнать в три шеи. вы хоть
заходили на сайт
http://rdl.kiev.ua/ ?
Это же СПАММЕРЫ и рекламируют услуги СПАМА, или вам плевать на свою
репутацию? 0_о

Ответ:
Здравствуйте!

Прошу прощения, но при исполнении служебных обязанностей я могу
руководствоваться только должностными инструкциями и действующими договорами, но
никак не эмоциями. Первая жалоба не может привести к закрытию доступа к
хостинговому серверу клиента.
— Показать цитируемый текст —

WBR, Max A. Krasilnikov
«Colocall» Internet Data Center

Я:
1) У меня 6 писем с этим спамом
2) на сайте ЯВНЫМ образом рекламируется услуга спам-рассылок
— этого не достаточно для принятия более жестких мер к злоумышленнику???
сообщите начальству о спаммере, пусть принимают решение о закрытии
аккаунта такого клиента.

Ответ:
Здравствуйте!

On Fri, Apr 03, 2009 at 12:48:24PM +0300, spamcop wrote:

> 1) У меня 6 писем с этим спамом

Если подобное письмо придет в течении суток с момента предупреждения клиента, я
закрою доступ по протоколу http к _серверу_ клиента.

> 2) на сайте ЯВНЫМ образом рекламируется услуга спам-рассылок
> — этого не достаточно для принятия более жестких мер к злоумышленнику???
> сообщите начальству о спаммере, пусть принимают решение о закрытии
> аккаунта такого клиента.

Прошу обратить внимание, что это лишь один сайт на хостинговом сервере клиента.
Я не могу закрыть весь сервер по первой же жалобе. Я не имею доступа к серверу
клиента. Я не буду обсуждать регламент работы своего отдела.

WBR, Max A. Krasilnikov
«Colocall» Internet Data Center

Вот так Колокал ложит хуй на спаммеров. Главное, что они платят за выделенный сервер 🙂

Кто следующий?

Следующими отозвалась техподдержка i.ua

Добрый день!
Спасибо за информацию, аккаунт заблокирован.

Проверяем:

The error that the other server returned was: 550 550 User not found. See hxxp://mail.i.ua/err/2/ (state 14).

Все! Адрес заблокирован! 🙂 Честь и хвала i.ua, снимаю шляпу 🙂

А что же другие?

А другие, а именно: info@hostmaster.net.ua, hostmaster@kiev.ua, drs@cunic.ua – дружно ложат хуй, вместе с Колокалом (abuse@colocall.net).

Пост скриптум.

Для тех, кто в курсе, помните, что случилось с EstDomains?


Теги: , , , , , , ,