timeweb заблочил

12
S
На сайте с 15.01.2011
Offline
84
2464

Здравствуйте, хостинг timeweb заблочил отправку почты за спам, хотя я этого не делал.

Вот письмо от них № 1

От имени Вашего пользователя ------- была зафиксирована рассылка спама, в связи с чем мы были вынуждены заблокировать возможность отправки писем с сервера.

Из лога можно определить, с помощью какого скрипта была инициирована рассылка - имя файла указывается в строке "X-PHP-Originating-Script".

Согласно правилам предоставления услуг, любой вид спама запрещен, поэтому для предупреждения ситуации в будущем мы рекомендуем выполнить следующие действия:

Вот письмо от них № 2

Мы видим, что очень большое количество ящиков-получателей Вашей рассылки не существует; это означает, что Вы не проверяли владение почтовым ящиком. Также очень большое количество писем распознается принимающими сервисами как спам.

При массовых отказах серверов-получателей принимать письма, наша система автоматически блокирует для пользователя возможность отправки почты.

Лог отправок для анализа был выгружен в корень вашего аккаунта как

Если рассылка по указанным в логе адресам выполняется намеренно, Вам необходимо актуализировать базу рассылки, исключив несуществующие почтовые адреса. Также необходимо будет выявить, из-за чего рассылка классифицируется как спам почтовыми серверами, которые отклоняют Ваши письма, и исправить это. Отклонённые письма в логе помечаются как "**".

В случае, если данная активность вызвана наличием вредоносного кода и осуществляется без Вашего ведома, можем рекомендовать Вам воспользоваться услугой "Скорая помощь" от нашего партнера Revisium.

“Скорая помощь” - это лечение под присмотром эксперта Revisium, защита от взлома и гарантийная поддержка в течение 6 месяцев.

Также можно воспользоваться следующим вариантом (но он не гарантирует полного решения проблем):

1. Скачать все файлы с сервера, проверить их антивирусом и загрузить обратно; Для выполнения тщательной проверки Вы можете использовать ПО ai-bolit в "параноидальном" режиме, произвести запуск скрипта Вы можете посредством следующей команды php ai-bolit.php --delay=500 --mode=2

2. Обновить все пароли панели управления аккаунтом, FTP-пользователей, баз данных и административной части Ваших сайтов;

3. Обновить Ваши CMS и ее дополнения.

Кто сталкивался и что делать ? Проверять на взлом и вирусы все сайты, их на аккаунте более 20 !!

http://falf.ru/ (http://falf.ru/) https://xn----7sbblnj3aii5b.xn--p1ai/ (https://xn----7sbblnj3aii5b.xn--p1ai/) - Монтажное подразделение газовой службы
Апокалипсис
На сайте с 02.11.2008
Offline
391
#1
shumvit:
Кто сталкивался и что делать ? Проверять на взлом и вирусы все сайты, их на аккаунте более 20 !!

Ну да, только так. Логи еще поизучать можете, но это тоже долго.

Записки нищего (http://zapiskinishego.ru) - мой личный блог Услуги php программиста. Очень нужна любая работа. Не покупают? Поведенческий аудит интернет-магазина за 5000 руб. (/ru/forum/990312)
X
На сайте с 04.12.2018
Offline
152
#2

Мне блокировали отправку. Попросил список писем, которые они посчитали спамом. Объяснил и показал кому и как отправлял каждое из них (это были отправки заказов клиентам и сразу заказ поставщику) - разблокировали без проблем.

Удобный съем позиций (http://allpositions.ru/redirect/58277)
PA
На сайте с 15.02.2018
Offline
57
#3

Лечить все придется, если правда взломали. У таймвеба нет разделения по пользователям и они вас не разбанят просто так. Если взломали, то вариант лечить сайты по очереди из бекапов, которые наиболее давние с актуальными данными и переносить туда, где они будут разделены. Но сперва надо уточнить точно, что это за рассылка.

Почти дедик (https://goo.gl/qV1T7s) дешево|Мои VDS (https://is.gd/vds100) быстрее твоих|Продаю хостинг
SV
На сайте с 03.11.2008
Offline
1395
#4
shumvit:
Проверять на взлом и вирусы все сайты, их на аккаунте более 20 !!

И с вероятностью 99,9% они все заражены.

---------- Добавлено 17.02.2019 в 19:48 ----------

Pavel A:
лечить сайты по очеред

Не по очереди, а все сразу.

Пока будешь лечить второй - первый уже опять подцепит заразу.

Или по одному переносить на новый акк/хостинг.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
Ria.neiron
На сайте с 22.03.2009
Offline
340
#5
shumvit:
хостинг timeweb заблочил отправку почты за спам, хотя я этого не делал.

Они лично вас не обвиняют в рассылке спама.

shumvit:
От имени Вашего пользователя ------- была зафиксирована рассылка спама

Вам же написали, что рассылка была от имени вашего пользователя. А отправить мог как человек, так и скрипт.

shumvit:

Кто сталкивался и что делать ? Проверять на взлом и вирусы все сайты, их на аккаунте более 20 !!

Вам же хостер написал что делать.

shumvit:

В случае, если данная активность вызвана наличием вредоносного кода и осуществляется без Вашего ведома, можем рекомендовать Вам воспользоваться услугой "Скорая помощь" от нашего партнера Revisium.
“Скорая помощь” - это лечение под присмотром эксперта Revisium, защита от взлома и гарантийная поддержка в течение 6 месяцев.

Также можно воспользоваться следующим вариантом (но он не гарантирует полного решения проблем):
1. Скачать все файлы с сервера, проверить их антивирусом и загрузить обратно; Для выполнения тщательной проверки Вы можете использовать ПО ai-bolit в "параноидальном" режиме, произвести запуск скрипта Вы можете посредством следующей команды php ai-bolit.php --delay=500 --mode=2
2. Обновить все пароли панели управления аккаунтом, FTP-пользователей, баз данных и административной части Ваших сайтов;
3. Обновить Ваши CMS и ее дополнения.

Совет хороший. Действуйте!

Безлимитные серверы 100 Mbps от 29$. (http://megahoster.net/server_nl.php) Нидерланды Безлимитные серверы 1 Gbps от 59$ (http://megahoster.net/server_fr.php) Франция, США Администрирование серверов и перенос сайтов - бесплатно!
PA
На сайте с 15.02.2018
Offline
57
#6
SeVlad:
по одному переносить на новый акк/хостинг.

С этого начать. Я там еще писал с разными юзерами для сайтов или open_basedir. А если все сразу, то можно и не успеть до повторной атаки хакбота. Заразу вырезать надо.

treshnyuk
На сайте с 17.02.2013
Offline
223
#7
Из лога можно определить, с помощью какого скрипта была инициирована рассылка - имя файла указывается в строке "X-PHP-Originating-Script".

вот как минимум снести/убрать выполнение/перенести с директории доступной извне данный файл. И искать причину как он там появился.

SV
На сайте с 03.11.2008
Offline
1395
#8
Pavel A:
или open_basedir.

Это не спасёт. Только полная изоляция. Или лечить все сразу, что может быть намного быстрее чем переносы.

PA
На сайте с 15.02.2018
Offline
57
#9
SeVlad:
Или лечить все сразу

Тут нужна квалификация и опыт, чтобы все сразу. Ну а под отдельным юзером конечно лучше.

SV
На сайте с 03.11.2008
Offline
1395
#10
Pavel A:
Тут нужна квалификация и опыт, чтобы все сразу.

По большому счёту нет разницы сколько файлов сканить и сколько каталогов разбирать. В см нет разницы в сложности - разница только в затраченном времени. (А на переносы можно затратить и в неск раз больше)

Более того - найденное на одном сайте с большой долей вероятности будет и на остальных, что уже немного облегчает работу. (но не отменяет анализ всех остальных сайтов)

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий