Abuse 5.178.87.84

Здравствуйте.
В наш адрес поступила жалоба на Ваш сервер(5.178.87.84). Просим Вас разобраться в ситуации и принять соответствующие меры.
Текст жалобы:

Здравствуйте!
Указанные ниже в нашем письме IP адреса и веб страницы предположительно были использованы в последних кибератаках в составе ботнета. Мы просим Вас обратить внимание на эти веб-сайты для идентификации и удаления заражённых страниц.

Типичная инфицированная страница:
В наличии типичной инфицированной страницы можно убедиться путём добавления в браузере следующего параметра к ссылке (URL) на подозреваемую страницу:
?c_id=ZWNobygnPGgxPklORkVDVEVEPC9oMT4nKTs=
Пример:
www.infecteddomain.com/infectedpage.php?с_id=ZWNobygnPGgxPklORkVDVEVEPC9oMT4nKTs=

Отображаемая страница в браузере скорее всего отобразит «INFECTED», если страница заражена. Мы полагаем, что заражающий скрипт пытается инфицировать все доступные PHP файлы, а также создает дополнительные. В связи с этим Вам может понадобиться просканировать все файлы в системе на предмет обнаружения инфекции (см. ссылку 1.D «Рекомендация Интернет-провайдера» ниже).
Если же браузер сообщает, что веб-страницы не существует, выдавая 404 Message (ошибка 404 — страница не найдена), сообщение "Access denied" или просто пустой экран, то Вам может понадобиться использовать утилиту, позволяющую просматривать заголовок HTTP. Если Вы используете команду cURL, то введите в консоли:

curl -A “Mozilla/4.0” -iL [URL]

Если первая строка выдачи это "HTTP/1.1 200 OK", это значаит, что страница на самом деле присутствует в системе, вне зависимости от остального выдаваемого текста. PHP скрипты на таких страницах нужно проверить на наличие следующего выражения для вызова функции:

eval(base64decode($_REQUEST

Такое выражение, вместе с именем параметра, позволяет передавать зашифрованный PHP скрипт на страницу где он будет выполнен.

Удаление вредоносных кодов:

Следующие шаги могут быть полезны для удаления инфекции:

1. Блокировать вредоносное программное обеспечение.

a. Удалить или обезвредить вредоносные скрипты (см. подробные инструкции по ссылке 1.D «Рекомендации Интернет-провайдера»).

b. Если не удаётся заблокировать вредоноса, то отключите зараженное устройство от сети.

2. Смените учётные данные Joomla/Wordpress.

a. Смените пароль администратора для Joomla/Wordpress. Это важно сделать, так как пароль учетной записи перехватывается при заражении.

b. Если существует учётная запись администратора с именем “admin”, измените эту учётную запись на какую-нибудь другую (см. ссылку 2.С). Это важно, потому, что одна из версий вредоносного скрипта осуществляет подбор пароля для этой учётной записи, существующей по умолчанию.

3. Установите последнюю доступную версию Joomla/Wordpress и все обновления к ней

a. Joomla и WordPress являются общим компонентом инфицированных систем. Установка последних версий и обновлений безопасности необходима для предотвращения подобного заражения.

Спасибо за Ваше внимание и помощь. Пожалуйста, свяжитесь с нами после получения этого письма и оставайтесь на связи до решения этой проблемы.

С уважением,

Bank of America Abuse Team

*********************************************************************************************************************************
Ссылки порождающие вредоносную активность
*********************************************************************************************************************************

Вредоносное содержимое:

5.178.87.84

http://trezvesti.com/tmp/agb.php

5.178.87.84

http://trezvesti.com/tmp/agg.php

*********************************************************************************************************************************

Дополнительная информация

*********************************************************************************************************************************

1. Детали недавних DDoS атак, аспекты деятельности ботнета и потенциальные шаги по устранению угрозы доступны бесплатно по следующим ссылкам:

A. Последняя информация: http://www.prolexic.com/news-events-pr-threat-advisory-ddos-itsoknoproblembro.html

B. Детальный отчет: http://www.prolexic.com/knowledge-center-ddos-threat-advisory-itsok/pr.html

C. Парсер логов BroBot: https://github.com/plxsert/brolog

D. Рекомендации провайдера: http://devilsworkshop.org/tutorial/remove-evalbase64decode-malicious-code-grep-sed-commands-files-linux-server/55587/

2. Следующие ресурсы могут быть полезны для ваших клиентов и могут помочь им обезопасить их веб сайты и предотвратить повторное заражение:

A. http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website

B. http://www.netmagazine.com/features/10-essential-security-tips-protect-your-site-hackers

C. http://docs.joomla.org/Why_should_you_immediately_change_the_name_of_the_default_admin_user%3F

D. http://joomupgradeservice.com/documentation/15-reset-admin-password

E. http://joomupgradeservice.com/documentation/25-reset-admin-password-joomla-3-0

Об авторе

Vitaliy Nixenkin

Просмотреть все сообщения