Утром обрадовал меня дц письмецом, что заблочил один из моих ip (хорошо хоть не весь сервер, как бывало ранее) по наводке спамхауса.

Проблема усугубляется тем, что на этом ip около полусотни сайтов, причём не только моих, но и приблудных.
clamscan ничего не находит
find -mtime {от 1 до 10} -name "*.php" ничего подозрительного не находит.

Чем и как ещё можно поискать непотребство, которое им не нравится?


Как я рад, что денежные клиенты на других ip раскиданы, но мои-то сайты тоже не для украшения работают...

За реальную помощь с меня плюс. Можно и в денежном эквиваленте.

Nikitian
попробуй пообщаться с этим человеком, возможно поможет

_____________

Профессиональная разработка на заказ

Я на GitHub | второй профиль

Invis1ble
Спасибо, написал ему. Надеюсь письмо быстро дойдёт.

Похоже проблема здесь

Не похоже (
У меня таких файлов нет...
Посмотрел логи внимательнее - вижу post запросы к такому файлу в корне основного домена, которые были сделаны в ..... мае. И на них ответ был 404, т.к. там никогда ничего не было, а этот корень я часто смотрю.

Ладно, поглядим. Списался с Белым Тигром.

---------------UPDATE-2.02.2012 - 16:50------------------------

Тема всё ещё актуальна sad.gif
Видимых причин для блока нет, на сервере всё чисто, со спамхауса абузу сняли... Но дц разблокировать не хочет. Объясняют снятие абузы своим блоком (запросы-то теперь блокируются вместе со всем трафиком, а есть ли эти запросы - кого теперь это волнует?), требуют доказательств, что я не верблюд и сервер очищен от гадостей (с описанием что именно было и как чистил)...
Может у кого есть мысли как можно победить систему и доказать, что всё чисто или найти мега-хитрую тварь на сервере?
Смена ip не вариант, т.к. к этому много чего привязано (

---------------UPDATE-9.02.2012 - 13:50------------------------

После множества писем с уверениями, что я не верблюд, ip всё-таки разблокировали, Ю-ху!
Как только разблокировали, реально начали поступать запросы на упомянутый в тикете спамхауса ip/stat1.php Сообщил об этом спецам хостера и параллельно накропал маленький скриптик с логгированием не только запросов с ip, но и post-данных, которые они шлют. В результате заметил закономерность, что почти все запросы идут с одинаковым бинарным post. Свербит мысль расшифровать, если там что зашифровано или отловить поганца, который это всё замутил. Пока есть только лог, исходя из однотипности запросов - это всё жертвы. Если к этому же скрипту будет стучаться злоумышленник с каким-либо приказом, то запрос должен, имхо, радикально отличаться. Все ip из этого лога сразу кидаю в блок-лист файервола, так что не шлите туда своих постов ))
Кто любит поломать голову? nikitian.ru/logg.txt

Если ничего не понятно, то спамхаус на меня стал катить бочку, что на сервере находится система управления ботнетом, к которой шлются подобные запросы, из-за чего и заблочили ip.

Nikitian
Мда, не благодарное это дело, доказывать что ты не осел
У меня был случай, с одним сайтом. В один прекрасный день он вдруг перестал работать, от хостера пришло письмо что сайт заблокирован, по жалобе из ДЦ. Как выяснилось, сайт был взломан, и на него повесили фишинг к одному английскому интернет банку. Надо отдать должное спецам банка по безопасности, отреагировали моментально. Судя по дате создания файлов, и времени закрытия сайта, фишинг продержался не больше часа
Это был мой первый сайт визитка, состоял из нескольких статичных страниц, ну не считая гостевухи, по сему уязвимостей там быть не могло, в виду практически полного отсутствия скриптов. Я начал копать логи фтп, потому как только им и пользовался, подозревая что взлом был через него. Ничего подозрительного не нашел. Потом зашел в хостерскую cPanel. Выяснилось, что последний заход туда был с левого айпишника, из какой то банановой республики. Тем не менее хостер отказался признать что уязвимость была на их стороне. Главные аргументы были: "у нас стоит последняя версия cPanel, все обновления установлны, никакой инфы о критических уязвимостях на оф. сайте нет". Вся эта тягомотина продлилась где то 2 дня, после многочисленной переписки, и созвона с хостером, сайт все таки разблокировали, назидательно пригрозив: "больше так не делай". Доказать что либо хостеру так и не удалось.

Было и такое, что у одного из клиентов на моём сервере хакали джумлу и вешали фишинг какого-то банка - не блокировали, а просто сообщали об этом, а тут сразу заблочили - что и удивило.
Теперь этот ботовод - мой личный враг и я буду следовать по его стопам, пока не накажу ))))

Он задел мои финансовые интересы: мои полсотни сайтов не работали 8 дней - это ошутимо.. Поглядим, пока только хочется разобраться в ситуации и найти крайних, а с изощрёнными методами наказаний - это уже по факту думать надо.

Вычислил негодяя... Он пользуется tor'ом. Во всяком случае раз в день в разное время есть подключение к логируемому адресу с пустым post с ip "Organization torservers.net". Причём у всех запросов юзер агент один, а у этого немного другой. К сожалению, узнать что-либо кроме браузера и системы из юзерагента не удалось. Даже язык не светится, но вроде тор юзерагент не меняет. Так же есть большая вероятность, что юзерагент так же левый, ибо ие6 - это смешно.
Есть идея, если подключение идёт всё же через браузер, запустить java-апплет или flash, который будет коннектиться в обход установок прокси для браузера. тем самым выдаст реальный ip и что-нибудь ещё. К сожалению, знаниями достаточными для java или флеша не обладаю ( Сижу, изучаю мануалы, хотя и слабо вериться в столь простое решение.
Сейчас отпишу в абузу тора, может они чем помогут.

Как видите, наш проект "Месть-2 - построй свою месть" живёт и развивается. Месть строится и надеюсь, получится заселить кого-нибудь из участников в уютный домик ну или тупо попортить кровь