Цитата:
Ваш аккаунты ********.org, ******-****.com заблокированы за распространение
вредоносного ПО.

Компания http://www.cert-in.org.in инициировала расследование оп этому поводу,
до выяснения ситуации домены и сайты будут блокированы.


--
С уважением, Роман Ильичев
Сотрудник службы технической поддержки пользователей.

HOSTED - Источник Бесперебойного Хостинга!
+380 44 593-32-22, http://hosted.in.ua

Sir,

We have received reports that the following website is being used

to propagate malware such as information stealing trojans etc.,

with the help of an attack toolkit called Neosploit ,

Visitors of these sites are also get infected with malwares.

URL:

www.trio.hosted.in


The FTP user credentials pertaining to operations with above

mentioned website are compromised and are under control of attackers.

Some of the details are mentioned below:


ftp://***:***d@trio.hosted.in:21#9.6.2008

1:7##1####Install#,/public_html/index.php

ftp://***:***@trio.hosted.in:21#9.6.2008

1:6##1####Install#,/public_html/index.php

You are requested to take following immediate actions in

coordination with your service provider:

1. Change the FTP credentials (User name and password) of

the above mentioned accounts.

2. Review the security of your website as well as the systems

you are using for uploading content to the website.

3. The FTP credentials might have been stolen from the sytems

with help of malware. Hence ensure that your systems are clean.

4. Remove the malicious contents (java_scripts etc. )

that are uploaded by the attackers.

(please refer the aforementioned logs for uploaded malicious contents.)

You may search the source code of your web-pages for

malicious/obfuscated javascripts.

5. Preserve and send all the relevant logs (FTP logs, web server logs etc)

to us to facilitate further analysis and investigation.

Thanks and Regards,

CERT-In

Incident Response Help Desk

e-mail : incident@cert-in.org.in

Phone : 1800-11-4949

FAX : 1800-11-6969

Web : http://www.cert-in.org.in

PGP Fingerprint : 2E68 2FB6 0438 E77D 2F65 0F35 BB03 3855 35DC 5287

PGP Key information:

http://www.cert-in.org.in/contact.htm

Postal address:

Indian Computer Emergency Response Team

Department of Information Technology

Ministry of Communications and Information Technology

Government of India

Electronics Niketan

6, C.G.O. Complex

New Delhi-110 003



-----BEGIN PGP SIGNATURE-----

Version: PGP Desktop 9.0.5 (Build 5050)

iQEVAwUBSPbb9LsDOFU13FKHAQpaXAf/Tf60EH7JeaD+oC5K+R9jQhbAGlCZzBMV

puOCliqO5l7YQOS1ZcFgoFirf0HBjC6c5LqQyD3PK0xsdRLLb/D5ZaIElthzpNFZ

/2qdSTNVh+zXkaRLOcAHBzf8fs64CycqIsMeoSnYt+pFleSumx4/oou7HRvRN+W5

cCfjJLzIDWWkVKFQJyHCE/RtQ2siy3ThRPXcvMsS+8AAAdkaWMw44Wae5zxN7QZu

a0ldQqGIwj3roSwn1ivRcv25f3U2YOWIUQF+n5hnGBo6V0UabtLprI4OyqmVboNI

s+ficqegQFX06h5OWPEsWkFEGjKVv5jFzjwsoiwmfPHK1aG/1pFWUQ==

=SFOJ

-----END PGP SIGNATURE-----




---------- Конец пересылаемого письма ----------

--

С уважением,

sergey mailto:sergey@broodex.com

Мы получили на Вас жалобу считаем её обоснованной.

Ждем комментариев по этому поводу от Вас.
- Сховати цитований текст -

Влад Черников (http://stroyinfo.org/, http://www.moscow-build.com/)

Получил от хостера письмо
сайты заблокированы через http, ftp, ssh
заблокированы без предупреждения, без возможности даже скопировать данные!
сайты - небольшие статейные тематические порталы (типа блогов).
подозреваю, что максимум, что там могло быть - вирус через фтп забрался, который открывает в попапе члены на пол экрана.

сразу же отправил письмо им, что считаю их ненадежным партнером, и хочу немедленно прекратить с ними сотрудничество и потребовал выдать мне все файлы, дампы, коды для доменов и прочее.
По истечение суток, эта информация так и не была мне предоставлена ни в каком виде. перебой в работе сайтов продолжается

получил так же письмо, в которым "хостер" "обосновывает" свое решение, мол они получили жалобу:
ответил письмом и попросил разьяснить ситуацию, и объяснить, как они собрались решать проблему, на что получил дерзкий ответ:
мне кажется, что хостер, который по первому стуку какой-то индийской шараги отключает сайты от работы не имеет права присутствовать на рынке

зы: просто представил, что если бы таким же образом(или по стуку конкурентов) могли были быть отключены не эти, а другие мои сайты, которые предоставляют услуги непосредственно клиентам, то убыток мог составить тысячи долларов в виде недополученной прибыли...
зыы: настоятельно рекомендую воздержаться от сотрудничества с этим хостером

чего вы тянете?! сайты стоят
я жду от вас дампа и файлов. я перенесу сайты в другое место пока вы там разбираетесь

Мы ждем комментариев от вас по этому поводу.

комментариев чего именно вы от меня ждете?
могу прокомментировать ситуацию с моей стороны...

- вы отключаете аккаунт, обосновывая расследованием какой-то индийской конторы (что особо интересно, вы делаете это в конце рабочего дня...)
- меня, естественно, такая ситуация не устраивает, и я решаю прекратить с вами сотрудничество и отправляю письмо с просьбой выдать мне секретные коды доменов, файлы на аккаунтах, дампы базы данных
- в ответ я получаю письмо с цитатой какой-то абузы. в которой четко, (хоть и на английском языке) написано, что пароли к учетным записям, которые вы отключили, были украдены хакерами(по чьей вине - еще вопрос). там же вас просят, ПОМЕНЯТЬ ПАРОЛИ к этим учетным записям. вы же применаете неадекватные действия, обвиняя МЕНЯ в распостранении вредоносного ПО.. отключаете аккаунты, не предоставляя никаких доказательств, и описания ситуации, кроме как обвиняя меня, и не предоставляя возможности мне самостоятельно исправить ситуацию, и не справляете ее сами.

если вас это устроит, я гарантирую, что я, и все, кто имел санкционированный доступ к аккаунту, не делали ничего, чтобы распостранять вредоносное ПО с этих аккаунтов

тем не менее, я считаю, что ваш подход к решению проблемы недопустим. я планирую перенести все свои сайты от вас, по мере того, как будет заврешаться срок оплаченных услуг. эти два аккаунта я хочу перенести немедленно. мне не нужно, чтобы вы их включали, мне нужны данные, и возможность перенести домен.

Аккаунты разблокированы.

Some of the details are mentioned below:


ftp://***:***d@trio.hosted.in:21#9.6.2008

1:7##1####Install#,/public_html/index.php

ftp://***:***@trio.hosted.in:21#9.6.2008

1:6##1####Install#,/public_html/index.php

ситуация пришла к какому-то более-менее логичному завершению.. осталось сделать выводы и больше не напарываться на подобные грабли
в пятницу отписал хостеру:
Цитата:

на что получил ответ только в выходные..
Цитата:

и сегодня сутра уже я пишу:
Цитата:

в ответ я получаю:
Цитата:

может кого-то удивит, что никаких вирусов в файлах я не обнаружил...
даже более:
Цитата:

это часть жалобы, в которой указывались данные для доступа, которыми располагали хакеры.
один из паролей, действительно, совпадал с текущим. а второй - нет. т.е. на втором аккаунте никак не могло быть активности хакеров.

можно сделать вывод, что хостер по первой же жалобе конкурента может отключить сайт, даже не удостоверившись, в правдивости жалобы...
тут уж каждому решать, нужен ли кому-то такой партнер или нет.

ЗЫ данную тему я поднимал и на других форумах, где большая часть посетителей - клиенты хостинговых компаний. выслушал от владельцев и работников других хостеров, что я чуть ли не в ножки должен кланяться хостеру за своевременные принятие мер по предотвращению действий особо опасного распостранителя вредоносного ПО, в лице меня... но большая часть ответивших (которые являются клиентами разных хостеров) высказали свое отрицательное отношение к действиям хостера (это информация к размышлению для хостеров) и посоветовали мне как можно скорее уйти от него, что я и сделаю

ЗЫЫ так же на других форумах я получал обвинения в том, что я невежливо общался с ТП. поэтому в последнем сообщении цитирую полностью свою переписку за последнее время

аключайте договора с хостерами у которых есть лицензия, офис, юр лицо..

Вам хочется что бы Ваш сайт не закрывали по жалобе индусов, которые общаются на ангийском еще хуже чем Вы.

Все остальные при письме от спамкопа ( Вас научить его формировать?) - будут отключать сайт...