Романов Вячеслав,
домен www.electro51.ru, клиент хостинг-провайдера Valuehost.

Не успели отгреметь одни проблемы Valuehosta (напомню):
«Лаборатория Касперского», ведущий разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении большого числа сайтов, зараженных троянской программой-загрузчиком Trojan-Downloader.JS.Psyme.ct.
Специалистами «Лаборатории Касперского» выявлено не менее 470 серверов, инфицированных данным троянцем, при этом все они пользуются услугами хостинг-провайдера Valuehost. Одним из зараженных ресурсов стал, в частности, популярный веб-портал www.5757.ru.Администрация компании Valuehost уведомлена о наличии уязвимости на ее серверах, посредством которой заражаются виртуальные сервера ее клиентов. Общим для этих серверов было одно: все они были расположены на площадке хостинг-провайдера Valuehost.(_http://www.viruslist.com/ru/weblog?weblogid=207758614
_http://www.kaspersky.ru/news?id=207732424)

И последние события: С 30 ноября 2007 г. Многие сайты Valuehost опять взломаны. О чем сообщают на форуме Valuehosta:
(_http://www.hostforum.ru/showthread.php?t=11581). В том числе пострадали и мои сайты . Многочасовая переписка с службой поддержки Valuehost результатов не дала, отвечают, мол сами виноваты, используете плохое ПО, вирусы у вас и т.д. и т.п. и вины своей не признают. На мой логичный вопрос как-же злоумышленники могли воспользоваться паролями с моей машины, если я в 16:47 поменял все пароли (панель управления, FTP, почта) и сразу отключил компьютер, включив его только на следующий день, обнаружив, что уже в 17:37 (спустя час) были изменены файлы злоумышленниками. Кроме этого имею сайты на Masterhoste, с ними все в порядке. Обслуживающее ПО используется одно и тоже.
А тут еще при запуске HELPA Valuehosta (http://www.hosthelp.ru) 02.12.2007 в 18:55:35 с их страницы зарускается "Вредоносный скрипт <http://www.hosthelp.ru/[8]>: обнаружено: троянская программа 'Trojan-Downloader.JS.Small.il' " (из отчета моего антивируса).
То есть вирус в ресурсах самого Valuehosta?! На странице его-же помощи!!!
Не поверил глазам, позвонил приятелю, он зашел тоже на этот сайт, и ловит тот-же вирус! Так что-же с безопасностью Valuehost?

Выбранный вами стиль изложения проблемы больше похож на очередную провокацию.

Во-первых вы указали "левый" домен, и имя скорее всего тоже "левое"? :-)
Во-вторых о том случае, о котором идет речь на нашем форме, то он единичный. Это показал анализ на Яндексе - по поиску точной фразы инъекции - найдено всего 1 совпадение. Мы сейчас придаем безопасности очень серьезное внимание, и на днях вообще система будет другой же :-)

В-третьих ваши фразы типа "Не успели отгреметь одни проблемы" и "Многие сайты Valuehost опять взломаны" говорят о вас как провокаторе. Но свои деньги вы неплохо отрабатываете ;-)

Ссылки на Яндекс (Гугль) с инъекциями в студию, пожалуйста.

Да будет вам известно уважаемый(е), что гугл и яндекс давно уже внедрили механизмы противодействия поиску эксплоитов и адресов уязвимых скриптов через свои поисковики. Так что обнаруженный "1 скрипт" большая удача для вас и небольшая неудача сотрудников Яндекса.

Т.ч. если не имеете достаточно квалификации, то лучше уж хотя бы чушь не пишите - ведь только позорите свою компанию...

upd:
Почитал топик http://www.hostforum.ru/showthread.php?t=11581 на вашем форуме (и сохранил кстати дабы не было желания его неожиданно стереть)... оказывается тот кто представляется здесь как ValueHOST.Ru еще более некомпетентен (имхо), чем я думал - он предлагает искать поисковиками не ссылки на уяpвимые скрипты, через которые мог быть произведен взлом, а текст вредоносного js ... Смешно товарищ. Такие вещи почти никогда не индексируются и уж тем более не за разумные сроки относительно момента их вставки в страницу и тем более яндексом

Вам кстати на вашем форуме написали что у одного пользователя помимо вставки вредоносного кода, оказалась превышена квота на ftp аккаунты в панели управления. Если бы проблема была со стороны пользователя, то что угодно с его правами не смогло бы обойти эти ограничения... или... вдруг вы захотите поспорить... но ведь тогда окажется что у вас насквозь дырявая панель... так что думаю что спорить не будете

Какой-же он левый? Это мой домен. Это тот, который пока работает (потому что на MasterHost'e), в отличии от домена, который у меня на VALUEHOST. Насчет провокаторства: почитайте свой форум http://www.hostforum.ru
Проблема не единична или провокаторы все пользователи?

Чтобы избавиться от кривотолков, сообщаю свой сайт-зеркало на Valuehost:
_www.es.umacsm.ru (Сейчас уже частично работает).
Зарегистрированный домен: umacsm.ru

проблемы видимо действительно есть. на домене worldhosting.ru который давным давно размещен на одном из серверов валюхост тоже был найден тот же самый вирус. при этом примечательно что:

а) пароли к фтп нигде не хранились и никто на фтп/ссх не заходил на сайт с очень давних времен.
б) на сайте нет никаких скриптов через которые можно было бы взломать что либо и разместить вредоносный код.

скорее всего использовали фтп доступ одного из юзеров, закачали скрипт и с его помощью по крону распространили вирус по всем серверам. во всяком случае я бы не стал валить вину на одних только юзеров потому что что касается нас - никак невозможно было используя наш доступ зайти на сайт...

2SlavaRom: Вы нарушили правила этого форума уже в первоем своем сообщении тут, и мы имеем право обратиться к модераторам для применения модерации санкций (нарушен п.4.2). Вы неуважительно отнеситесь к работе своего хостинг-провайдера. Вам ответили в поддержке в течении _нескольких минут_ после вашего обращения о проблеме. Вирус был устранен и даны четкие рекомендации что делать. Проведен анализ и устранена причина. Вам сообщили. Вы же повили себя как провокатор, стали нарушать правила уважаемых форумов и талантливо публикую непроверенную инфомацию "столетней" давности, причем искажая факты. Мы были уверены - вы провокатор.

2rustelekom: инъекция кстати удалена ведь была почти сразу. Да и найдено "откуда ветер дует".Так что массовой провокации в этот раз не удалось кому-то устроить))

2debugger: не отвлекайтесь от дебагга своих собственных баг ;-) Мы внимательно читаем свой форум и прекрасно анализизруем всю информацию сами.

п.4.В тексте сообщения должны присутствовать следующие данные:
1.Имя и Фамилия клиента (автора темы).
2.URL сайта клиента (автора темы).

В правилах не сказано, какого провайдера должен быть указан домен. Я указал СВОЙ домен, который на тот момент работал. Зеркало на Валуехост не работало из-за обозначенных проблем.


Да в поддержке мне ответили быстро - поддержке мне ответили, что ПРОБЛЕМ НЕТ. А все проблемы, которые я перечислял в течение двух дней - только мои и моего ПО. Простите, в чем-же выразилось мое неуважение? Я никого не оскорблял, предоставил доказательства, своих слов. Всего чего хотел, чтобы разобрались со своей проблемой, а не переваливали вину на пользователей.
Мне лично об этом не сообщили и не извинились.
Правила я не нарушал, читайте внимательно. Повторяю, указан МОЙ домен electro51.ru. Могу предоставить доказательства.
Непроверенная информация - содержание отчетов лаборатории Касперского! Информация с их сайта. Задайте поиск в Яндексе и увидите еще больше информации. Кстати, я ее нашел после того, как сотрудник службы поддержки Валуехоста при моем первом обращении 30.11.07 указал мне на то, что в сети интернет появился НОВЫЙ вирус Trojan-Downloader.JS.Psyme.ct . Так, что о том, что эта информация столетней давности не ко мне. В личку могу сообщить фамилию этого Вашего специалиста.

2SlavaRom:

"В тексте сообщения должны присутствовать следующие данные:
Имя и Фамилия клиента (автора темы). "

Вы придумали имя "Романов Вячеслав". Ваш договор оформлен на другое лицо. Домены кстати тоже.
Видимо хорошенькон подготовились к провокации? ;-)
То есть Вы представились просто каким-то Васей Пупкиным.

2Модераторы: рассмотрите пож-та предложение о внесении изменений в правила, а именно -
"Имя Фамилия, или организация, должны совпадать с именем в WHOIS домена в п.4.2"

Вы "косите" под порядочного, а сами прекрасно понимаете, что в правилых дырка, пытаясь тем самым всех одурачить. И даже самому недоходчевому понятно, что публиковать надо домен (URL) на хостинге на который идет жалобы, то есть где проблема.

2Модераторы: рассмотрите пож-та предложение о внесении изменений в правила, а именно - "URL на хостинге на который идет жалоба (где проблема)".

"Четкое и, по возможности, неэмоциональное описание проблемы. "

Тут вообще провокатора понесло на отвлеченные темы. Стыдно вам должно быть за нарушения почти всех пунктов. Вы просто не уважаете труд всех остальных, включая тех кто писал Правила этого форму, нас работающих в ValueHOST'е, и пытаетесь либо оправдать вложенный в вас бюджет, либо просто ноль культуры поведения в Сети.

"Подробное описание предпринятых клиентом действий для решения проблемы до обращения на форум и ответных действий хостера."

Тут вы вообще пропустили и ничего не сказали, ни позитивного, ни нигативного.

То есть налицо нарушение правил форума, переход на темы не относящиеся к жалобе, пост ради раскрутки провокации очевиден)) Садитесь - пять ;-)))

На сайте указаны телефоны. Позвоните по любому из них и узнайте, что я являюсь одним из руководителей указанной компании и со-владельцем. И администратором и разработчиком сайтов. Думаю, что Валуехост тоже оформлен не на имя Администратора? А в личку могу и паспортные данные предоставить и другие необходимые Вам доказательства своей причастности.
Я еще раз повторяю, что указал единственный работающий домен, так как не хотел, чтобы кто-нибудь заразился вирусом, заходя от сюда и открывая зараженную страницу на Valuehost.
Мой сайт на Валуехосте частично не работает до сих пор.

Что касается Во-первых почитайте первый мой пост (там есть все). Да тут и писать нечего, все время, а это три дня служба поддержки отвечала в духе проверьте Ваше ПО и переименуйте файлы главных страниц и смените пароли. Вот пара ответов: "Разговор ни о чем, уж простите. Откуда мы знаем, что Вы там делаете со своей машиной, да и знать нам это совершенно не нужно." и "Ну, а какие могут быть претензии к нам? У нас машины на FreeBSD - виндовые вирусы на них не работают. Судите сами."
Уважаемый Valuehost.ru, могу в личку предоставить фамилии Ваших сотрудников и привести подробные тексты переписки со службой поддержки - умрете со-смеху.

Кстати, факт указанной проблемы таки подтвердился. Наконец-то на своем форуме www.hostforum.ru администраторы Валуехоста это признали. Значит это все-же никакая не провокация а проблема?

2SlavaRom:
Видимо вы и хотели чтобы тут "все умерли со смеху". У вас ничего не получилось - вы не ответили на пункты, которые откровенно нарушили. На вашем сайте не было никакого вируса в течении _нескольких минут_ после вашего обращения в поддержку. Вы же, несмотря на это, написали тут провокационное письмо, не указав то, что наша компания отреагировала строго по своим обязательствам.

Проблема была решена четко и по регламенту. Соответствующие службы сделали свое дело в положенные сроки. Вы же опять пытались "всех рассмешить". Мы работаем серьезно. Если вам хочетсо посмеяца, то сходите на анекдотс.ру.

А почему не работает - видимо вы до сих пор "смеетесь", либо сами все учудили ради неудачной попытки "всех умереть со смеху".

Это уже откровенный флуд. Звоните завтра по указанным телефонам, поговорим конкретно. Заодно удостоверитесь в том, кто я. Проблема решена в понедельник. Первые сообщения были в пятницу. Причем не только от меня (_http://www.hostforum.ru/showthread.php?t=11581&page=1&pp=10).
Моя страница: http://www.es.umacsm.ru/forum/ до сих пор не работает! Я привожу конкретные факты с источником. И не собираюсь с Вами вступать в неконструктивную перепалку. Устранили проблему - молодцы! Жаль, что не сразу и с перекладыванием проблем на клиентов и без извинений.
Романов Вячеслав Никифорович.

Извините, ValueHOST.Ru, но Вы немного запутали администрацию форума. Помогите разобраться.

Требование предоставлять о себе информацию выдвигается для того, чтобы хостер мог его (автора) идентифицировать. В вашем ответном сообщении в 20:38 присутствует фраза:

Как её прикажете понимать?
1. Что Вы всё же идентифицировали автора как своего клиента и предоставленных данных для этого было достаточно?
2. Или всё-таки Вы этого клиента не признали, а выделенная цитата - не более чем дежурная отписка и ввод в заблуждение читателей форума?

Сообщите, пожалуйста, какой из этих двух вариантов правильный. Если первый, то ни о каких нарушениях со стороны автора темы не может быть и речи - данных Вы получили достаточно и признаете, что это Ваш клиент и работа службой поддержки с ним велась. Если же второй - то тема будет закрыта.

Вот не понял одного, а вирус был ? или эксперт отдела претензий тоже обознался ? Если был - то могу писать и я ( сейчас только под Win перегружусь и пострадаю от бездействия данного провайдера), так что перевод разговора в плоскость - на этом сайте вируса УЖЕ нет смотрится как - то не прилично. Как и поиск провокаторов ( разве что. обвинять ТС что именно он перед этим еще и разместил вредосносный код )

Здравствуйте, ValueHOST.Ru
Как то это все неправильно... Меня зовут Алексей Стоборов. Домен electro51.ru зарегестрирован на мое имя (можно легко проверить), а домен umacsm.ru, который расположен на площадке Valuehost, на фирму, директором которой являюсь. Называется она "ЮМАКС-М". Вячеслав Романов реально существующее лицо и является моим компаньоном и совладельцем фирмы. Он же администрирует наши сайты (пишет их тоже он). Это я к тому, что не надо, наверное, обвинять человека, который указал Вам на Ваши недоработки, во всех смертных грехах. Кроме того, хочу напомнить, что за хостинг я плачу Вам хоть и небольшие, но деньги. И я, как мне кажется, в праве рассчитывать на то, что мои сайты и форумы, расположенные у Вас, будут работать бесперебойно. А возникающие проблемы Вы будете решать быстро и качественно, как и подобает профессионалам. Хотя возгласы типа "сам дурак" в сторону пользователей вряд ли являются показателем профессионализма. Так ведь и клиентов растерять можно...

2Admin:

"Требование предоставлять о себе информацию выдвигается для того, чтобы хостер мог его (автора) идентифицировать."

Безусловно. Автор темы не выполнил это требование - ни имя человека, ни указанный домен в первом сообщении данной темы
не являются нашими клиентам.

"Вам ответили в поддержке в течении _нескольких минут_ после вашего обращения о проблеме."
"Как её прикажете понимать?"
"1. Что Вы всё же идентифицировали автора как своего клиента и предоставленных данных для этого было достаточно?"
"2. Или всё-таки Вы этого клиента не признали, а выделенная цитата - не более чем дежурная отписка и ввод в заблуждение читателей форума?"

По первому пункту еще раз:
1.На основании первого сообщения автора было не идентифицировать:
а) имя не совпадает ни WHOIS, ни с Договором на оказание услуг.
б) домен, который был указан, у нас никогда не хостился.

Выделенная Вами цитата , а именно "Вам ответили в поддержке в течении _нескольких минут_ после вашего обращения о проблеме"
появилась после того как автар темы сообщил название своего домена на нашем хостинге.
("зарегистрированный домен: umacsm.ru,Сообщение отредактировал SlavaRom - Вчера, 18:25")

По второму пункту:
2.Никаких дежурных отписок. Автор был идентифицирован только в 18:25 на следующий день, после его второго сообщения.
То есть прошли почти сутки после реальной первой анонимки. Был проведен анализ проблемы и написано совершенно точно в 20:38:
"Вам ответили в поддержке в течении _нескольких минут_ после вашего обращения о проблеме.


2SlavaRom(автор):
"Это уже откровенный флуд."
Дабы не флудить здесь лишний раз плавно переходим на наш форум в переписку или треды.

Уважаемый, не устраивайте здесь балаган. Если у вас нет контр-аргументов, то так и напишите. В данном случае вы переводите разговор на оскорбления, малозначительные детали, превращаете тему во флейм.

Вам заявили, что на множестве сайтов ваших клиентов были обнаружены
1. Жаваскрипты, загружающие один и тот же вирус. Ваша официальная позиция по этому поводу?
2. "Лишние" фтп-аккаунты, созданные сверх квоты в панели управления. Ваша официальная позиция по этому поводу?

P.S. Обращение к администрации и модераторам: если уж вышеозначенный товарищ (представитель хостера) такой поборник правил данного форума, что пытается ими прикрыться в ответ на обоснованную притензию от клиента, то я попрошу наказать его в соответствии с правилами этого же форума по пунктам:

3.1 - за интерпретацию моего никнейма в оскорбительной форме и следующий за этим комментарий о собственных багах ("сообщения, грубые по тону и содержанию")
3.7. - за уход от ответа на поставленные клиентом вопросы и вместо этого разведение флейма в теме (по поводу того что клиент якобы всех смешит, затем придирки к указанному домену и т.п., переход на личности в отношении клиента) ("Писать бессмысленнyю или малосодеpжательнyю инфоpмацию, не несущую смысловой нагрузки")
3.13. - за сообщение о том, что зараженные сайты можно найти мгновенно через яндекс и других доказательств вы не принимаете ("Безосновательные и неаргументированные утверждения, не подтвержденные фактами")

Понимаю Ваши эмоции. Но в тех же правилах, которые Вы так внимательно почитали, еще содержится:

Хулиганам уже выписали за участие в этом топике два предупреждения. Вам же в будущем настоятельно советую предложения к администрации доводить посредством кнопки "Жалоба", которую можно найти под каждым сообщением.

[offtop]
Спасибо за принятые меры. Кнопку "жалоба" по правилам пришлось бы использовать неоднократно (особенно по второму из указанных пунктов). Я посчитал поэтому, что в данном случае достаточно одной записи прямо в топике.
[/offtop]

А от представителя хостера все-ж таки хочется услышать ответ на поставленные вопросы.

Видимо пора менять вам версию на более мощную ;-)
Вам же уже сказали цитирую: проблема была решена четко и по регламенту. Соответствующие службы сделали свое дело в положенные сроки. Ни фтп, ни вирусов "левых" сейчас нет, ни у этого клиента, ни у других. Жалоб было мало. И сейчас все обсуждают запуск ВХ2. А вы тут снова флудите, нарушая правила сами ;-) Лучше делом займитесь - своим прямым, то есть по специальности ;-)
Если вам хочется пофлеймить, то вы выбрали не лучшее место. Если у вас есть жалоба - создайте отдельную тему и напишите конкретно проблему, что у вас , мы ее с удовольствием решим, как решили данную жалобу.

VALUEHOST.RU,
Чтобы окончательно расставить точки над i, и чтобы Вы не путали и не вводили в заблуждение уважаемую публику сообщаю:
По-поводу правил -
Привожу: Я и есть пострадавшее лицо - или Вы до сих пор это отрицаете?

Вы окончательно запутались. Здесь Вы говорите о моем сообщении на ФОРУМЕ Valuehost'a.

А здесь Вы же говорите о ПОДДЕРЖКЕ ОН-ЛАЙН, куда я обратился с этой проблемой 02.12.2007.

Вот мое сообщение в службу поддержки Valuehost, Сообщение 23 из 29 отправлено 02-12-2007 в 18:58:48:
_http://keep4u.ru/imgs/b/071203/33/33cb6f9cbd6e4d2b2e.jpg
_http://keep4u.ru/imgs/b/071203/f7/f78636712ea321daf7.jpg

Как видно, не только служба поддержки видела эти мои сообщения, но и Отдел администраторов серверов.
То есть, возможность идентифицировать меня как клиента Valuehost была у администратора еще 02.12.2007г., еще до появления этой статьи тем более, что он ЕДИНИЧНЫЙ, как было указано вами выше: , а также как Вы увидете ниже, то и после этой статьи здесь, это было сделать более, чем легко:

Первое, опубликованное сообщение по моей просьбе на форуме www.hosthelp.ru 02-12-2007 22:54

_http://keep4u.ru/imgs/b/071204/82/82915d990ee01cca6b.jpg

ответ администратора 03.12.2007, 15:05:
_http://keep4u.ru/imgs/b/071204/fe/fe3cad90d2ff974ea1.jpg

Мой запрос на регистрацию в поддержке он-лайн Сообщение 1 из 6 отправлено 03-12-2007 в 15:42:56 :
_http://keep4u.ru/imgs/b/071204/47/4771bbcf030875d0b1.jpg

Первое сообщение после активации Администратором 03.12.2007г. 16:40:
_http://keep4u.ru/imgs/b/071204/51/5142562583bcb5dbcc.jpg

Заметьте, все это было до указанных Вами 18:25.
Или переписка со мной, которую я вел из контрольной панели Valuehosta не подтвержает, что я Ваш клиент?
Более того, все это подтверждает и то, что после выхода моего первого сообщения здесь, Вы прекрасно знали, что я - Ваш клиент и все написанное мной правда.

И, наконец, первое и единственное сообщение о том, что проблемы Вами устранены появилось лишь 03.12.2007, 20:03 на Вашем-же форуме.

Полагаю, раз домен, размещенный у обсуждаемого хостера, уже озвучен, нет смысла продолжать дискутировать по поводу этого домена - а не по поводу случившейся беды

Тем не менее, на будущее, считаю довольно логичным, если при открытии темы будет указываться именно url сайта, размещенного у обсуждаемого хостера (что обычно и происходит,по крайней мере, насколько мне довелось видеть) - ибо совершенно не понимаю, какой смысл публиковать домен, размещенный у другого провайдера

Уважаемые участники обсуждения!
Оставьте, пожалуйста, вопрос соблюдения правил администрации, не используйте их в качестве главного инструмента для достижения своих целей. Любое упоминание их в данной теме будет рассматриваться как просьба о блокировке. Если к администрации форума у кого-либо из вас есть претензии, используйте, пожалуйста, предусмотренные для этого каналы связи с администрацией.
Спасибо.

PS. Чтобы больше не возвращаться к этому, напомню, что тема может быть закрыта или удалена только по просьбе её автора.

Тема закрыта по просьбе её автора.