Is mano puslapio siunciami SPAM laiskai

Is mano puslapio sunciami SPAM laiskai, kas cia per nesamone? as tik nesenai sukuriau puslapi ir iskart pradejo siust SPAM laiskus?

Pirmas laiskas atejo pries 1 diena, is hostingo.

Sveiki,

 

iš Jūsų tinklapio yra siunčiami SPAM tipo laiškai. Siunčiama iš:

/home/aus3742/domains/mywebsite.com/public_html/wp-includes/js/tinymce

 

Prašome kreiptis į puslapio kūrėjus, kad pašalintų kenksmingus failus, atnaujintų wordpress, jos temas ir įskiepius. Jeigu reikalinga mūsų specialito pagalba 30 eur +PVM/val.

 

Pagarbiai

Kristina

Domenai.lt

Po to dar laisku yra daug kad masiskai eina SPAM is mano puslapio...

The aus3742 account has just finished sending 300 emails.

There could be a spammer, the account could be compromised, or just sending more emails than usual.

 

After some processing of the /etc/virtual/usage/aus3742.bytes file, it was found that the highest sender was [email protected], at 628 emails.

 

The top authenticated user was aus3742, at 636 emails.

This accounts for 212% of the emails. The higher the value, the more likely this is the source of the emails.

An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.

 

 

The most common path that the messages were sent from is /home/aus3742/domains/mywebsite.com/public_html/wp-includes/js/tinymce, at 408 emails (136%).

The path value may only be of use if it's pointing to that of a User's home directory.

If the path is a system path, it likely means the email was sent through smtp rather than using a script.

 

 

 

 

This warning was generated because the 300 email threshold was hit.

 

================================

Automated Message Generated by DirectAdmin

TVS: Wordpress

Fwd: [CERT-LT #27AB3#3E18E] Užvaldytas tinklalapis mywebsite.com

Gautieji

x

Domenai.lt <[email protected]>

 

10-19 (prieš 1 dieną)

 

skirta man

Sveiki,

 

gavome skundą dėl Jūsų svetainės saugumo ir kenkėjiškos veiklos. Prašome kuo skubiau imtis visų numatytų priemonių ir pašalinti saugumo spragą, priešingu atveju būsime priversti blokuoti Jūsų svetainę.

 

Ačiū už supratingumą ir bendradarbiavimą.

 

Donatas

Domenai.lt

 

 

-------- Persiųstas laiškas --------

Tema: [CERT-LT #27AB3#3E18E] Užvaldytas tinklalapis mywebsite.com

Data: Mon, 19 Oct 2015 15:37:33 +0300 (EEST)

Kas: CERT-LT <[email protected]>

Atgalinis adresas: [email protected]

Kam: [email protected]

...

Laba diena,

 

CERT-LT iš savo partnerių gavo informaciją, kad užvaldytas tinklalapis

mywebsite.com/wp-includes/js/tinymce/option.php

 

DĖMĖSIO! Šis tinklalapis įtrauktas į botnet veiklą.

Jame yra įterptas kenkimo kodas "StealRat", kurį naudojant piktavaliai siunčia brukalą. Prašome ne tik pašalinti kenkimo kodą, bet ir imtis visų reikalingų priemonių tinklalapio apsaugojimui:

a) turinio valdymo sistemos atnaujinimas;

b) administravimo slaptažodžio pakeitimas;

c) prieigos prie administravimo apribojimas pagal IP adresus ir pan.

 

Gali būti pažeista ir daugiau serveryje esančių svetainių.

Prašome imtis atitinkamų priemonių problemos pašalinimui ir informuoti CERT-LT apie rezultatus.

 

 

--------------------------------

Pagarbiai

 

Arnoldas Judinas

Vyriausiasis specialistas

Saugumo incidentų tyrimų skyrius (CERT-LT)

Tinklų ir informacijos saugumo departamentas

Lietuvos Respublikos ryšių reguliavimo tarnyba

Tel. (8 5) 210 5679 Faks. (8 5) 216 1564

El. p. [email protected]

PGP/GPG 0xA3BACE47

 

 

 

Jei norite Atsakyti arba Persiųsti, spustelėkite čia

Naudojate 1,83 GB (12 %) iš 15 GB

Tvarkykite

Sąlygos - Privatumas

Naujausia veikla paskyroje: prieš 3 dienas

Detaliau

Išsitrink apkrėstus failus ir bent jau laikinai nebesiųs:)

Laikinai? O tai kaip iki galo sutvarkyti? :/

Pamėgink pakeisti tinymce redaktoriu į kitą

Pamėgink pakeisti tinymce redaktoriu į kitą

O i koki patartum pakeisti?

Buvau ir aš tokią bėdą pasigavęs. Viskas buvo todėl, kad panaudojau laužtą pluginą. Paskui teko su juo pakovoti. Žodžiu jis buvo man pablokavęs visų pluginų atnaujinimus ir pluginų instaliavimo puslapis neveikė, bet nelabai supratau kame problema, ir jau galvojau apie visiško perinstaliavimo mintį. Bet nenorėjau skubėti to daryti.

Beje ir su tai pačiais domenai.lt, jie man siuntė, kad yra problemos su vienu failu, bet jų nurodytas failas man atrodė visiškai tvarkingas. Paskui, public_html puslapyje pradėjo atsiradinėti nepageidaujami failai. Aš juos kokią savaitę ir daugiau kas dieną kantriai trindavau, bet matomai laikas ateidavo ir jie iš naujo susikurdavao. Galų gale tai užkniso. Tad teko pašniukštinėti po katalogus ir pabandyti rasti kažkokių slaptesnių failų, kurie generuoja tuos nepageidaujamus failus.

Bet visvieną viską sugebėjau atknisti.

Pamėgink panaršyti po /public_html/wp-content/uploads/ katalogą

Tiesiog paprasyk, kad tiekejas praskanuotu nuo malware. One time neapmokestins.

d2b ieškojau tik atradau keista folderi kuris tikrai nereikalingas ištryniau jį, o terp kito folderio nieko neradau tik nuotraukas...

HOST321 Paprašiau :)

Bet man įdomu jei siunčia tuos laiškus, tai kur pažiūrėti galiu kokius laiškus siunčia?

Ieškojau neradau net...

Folderiu trynimas nepadės, nes bus sukurti nauji.

Reikia surasti priežastį kas kuria šiuos folderius ir laiškus. Jį greičiausiai bus paslėpta su eval ar base64 kokioje temoje ar valdiklyje.

d2b ieškojau tik atradau keista folderi kuris tikrai nereikalingas ištryniau jį, o terp kito folderio nieko neradau tik nuotraukas...

 

HOST321 Paprašiau :)

 

 

Bet man įdomu jei siunčia tuos laiškus, tai kur pažiūrėti galiu kokius laiškus siunčia?

Ieškojau neradau net...

Kaip ir FFNTT rašė, vien tik ištrinimas nepadės. Jau failuose yra ne vienoje ir ne 5iose vietose paslėptos užkoduotos eilutės.

--delete--