tiyam 01
Registered User
- تاریخ عضویت
- 5 جولای 2009
- نوشتهها
- 6,186
- لایکها
- 7,730
دیدم دو ایمیل برام اومده با اون عنوان، آیا هاستم هک شده؟ این ایمیل از طرف کی بوده؟ http://www.S-CERT.de
Last edited:
-
پایان فعالیت بخشهای انجمن: امکان ایجاد موضوع یا نوشته جدید برای عموم کاربران غیرفعال شده است
آیا هاست هک شده؟؟ your web server is abused for phishing attack AGAIN!
- شروع کننده موضوع tiyam 01
- تاریخ شروع
mhm007_007
Registered User
اول به هاستتون تیکت بزنید و سوال کنید
دوما اینکه من اینرو your web server is abused for phishing attack AGAIN تو گوگل سرچ کردم و پرشین تولز رو آورد
با تجربه ها نظر بدن بهتر هست من اطلاعات زیادی ندارم
دوما اینکه من اینرو your web server is abused for phishing attack AGAIN تو گوگل سرچ کردم و پرشین تولز رو آورد
با تجربه ها نظر بدن بهتر هست من اطلاعات زیادی ندارم
You_You
Registered User
- تاریخ عضویت
- 15 فوریه 2010
- نوشتهها
- 810
- لایکها
- 14
فایل های داخل هاستو چک کنید ببینید فایل مشکوک نباشه مثلا ممکنه صفحه یه بانک یا لاگین یاهو آپلود کرده باشن هاستت! از همون ایمیلی که برات ارسال شده درخواست آدرس صفحه phishing رو بکن
tiyam 01
Registered User
- تاریخ عضویت
- 5 جولای 2009
- نوشتهها
- 6,186
- لایکها
- 7,730
ایمیل رو امروز دیدم
چند روز پیش سرویس دهنده هاست سایت رو بسته بود به خاطر ارسال ایمیل انبوه، پس به همین خاطر بوده
چطور اون فابلها رو وارد هاست کردن؟؟
متن ایمیلها رو اینجا آوردم اما چیزی نشون داده نمیشد، از quote استفاده کردم
ممنون از راهنمائیتون
حتما از یه اسکریپتی چیزی استفاده میکنید که حفره امنیتی داره معمولا اسکریپت هایی که نال شده هست و رایگان توی نت ریختن حفره داخلش میزارن که از هاست میزبان سوءاستفاده هایی شبیه همین مورد بکنن. دزدی از کارت ها و ارسال ایمیل و غیره.. یا اینکه کلا هاستتون امنیتش ضعیف هست .
mhm007_007
Registered User
بله تیم تحقیقاتی هست برای حفظ امنیت بانک های معتبر
دیروز هم یک ایمیل فرستاده شد به من که با توجه به ایمیل معلوم بود که از خود بخش اداری مایکروسافت بوده. حتما جفت ایمیلها معتبر هستند
tiyam 01
Registered User
- تاریخ عضویت
- 5 جولای 2009
- نوشتهها
- 6,186
- لایکها
- 7,730
تا ایمیل رو دیدم محتویات پوشه dl رو کامل حذف کردم
ایمیل قبلی هم آدرس زیر رو داده بودن که فکر کنم موقع حذف cms این فولدر رو هم حذف کردم
spkk/public_html/sparkasse/sparkasse.de.htm
داخل اینباکس (وب میل) هم ایمیلهایی از این دست بود
Mail delivery failed: returning message to sender
This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: [email protected] SMTP error from remote mail server after end of data: host mta6.am0.yahoodns.net [98.138.112.34]: 554 delivery error: dd This user doesn't have a yahoo.com account ([email protected]) [0] - mta1252.mail.ne1.yahoo.com
You_You
Registered User
- تاریخ عضویت
- 15 فوریه 2010
- نوشتهها
- 810
- لایکها
- 14
احتمال 90 درصد مربوط میشه به میل سندر
وب سروری که سایت شما رو هاست شده روی دیتاسنتر شرکت آلمانی HETZNER هست پس ارتباط شرکت امنیت وب احتمالا مسئول امنیت دیتاسنتر شماست
درمورد چگونگی ورود میل سندر باید اطلاعات دسترسی به هاست بدید تا چک کنم ولی چون وب سرور شما یه وب سرور عمومی هست و 100ها سایت روش هاست شده می تونه میل سندر از هرجایی آومده باشه
tiyam 01
Registered User
- تاریخ عضویت
- 5 جولای 2009
- نوشتهها
- 6,186
- لایکها
- 7,730
وارد هاستم شدم دیدم یه فولدر دیگه اضافه شده
قبل پاک کردن زیپ کردم
دانلود see zip
---------------------------------------
یه ایمیل دیگه اومده
Return-Path: <[email protected]>
X-Spam-Checker-Version: SpamAssassin 3.2.1 (2007-05-02) on
selfcom.cronon.org
X-Spam-Level:
X-Spam-Status: No, score=0.8 required=5.0
tests=FUZZY_CREDIT,HTML_MESSAGE,
MISSING_SUBJECT,RCVD_IN_DNSWL_LOW autolearn=no version=3.2.1
X-Spam-POPAuth: No
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from localhost (localhost.localdomain [127.0.0.1])
by confixx.selfcom.de (Postfix) with ESMTP id 09A4AE2D85
for <[email protected]>; Wed, 3 Apr 2013 12:24:03
+0200 (CEST)
Received: from confixx.selfcom.de ([127.0.0.1])
by localhost (selfcom [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 03821-08 for <[email protected]>;
Wed, 3 Apr 2013 12:24:02 +0200 (CEST)
Received: from zim.pcz.pl (zim.pcz.czest.pl [212.87.231.130])
by confixx.selfcom.de (Postfix) with ESMTP id E06B0E2C01
for <[email protected]>; Wed, 3 Apr 2013 12:23:57
+0200 (CEST)
Received: by zim.pcz.pl (Postfix, from userid 1002)
id 881EB12C1DD; Wed, 3 Apr 2013 12:23:56 +0200 (CEST)
To: undisclosed-recipients:;
Subject:
MIME-Version: 1.0
Date: Wed, 03 Apr 2013 12:23:55 +0200
From: Sparkasse Online <[email protected]>
Message-ID: <[email protected]>
X-Sender: [email protected]
User-Agent: RoundCube Webmail/0.2.2
Content-Type: multipart/alternative;
boundary="=_459118bc22e5d6bad00e27d3b77440a0"
X-Virus-Scanned: by amavisd-new-20030616-p10 (Debian) at
selfcom.de
X-PMFLAGS: 570950016 0 1 P6EMF4QW.CNM
--=_459118bc22e5d6bad00e27d3b77440a0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="UTF-8"
Sehr geehrter Kunde,
im vergangenen Jahr wurde die Sparkasse zusammen
mit vielen anderen Deutschen Kreditinstituten das Ziel eines
weit
verbreiteten Internet-Betruges. Daher haben wir ein Projekt zur
Bekaempfung
gestartet.
Auf allen Online-Girokonten soll nun ein neu entwickeltes
Sicherheitssystem installiert werden, welches verdächtige
Bewegungen und
Transaktionen schnell aufspueren und loesen kann.
Wir haben festgestellt,
dass Ihr Girokonto noch nicht mit diesem Sicherheitssystem
ausgestattet ist
und bitten Sie 5-10 Minuten Zeit zu investieren, um dieses
Sicherheitsupdate/MaÃ"Ynahmen zu vervollständigen.
klicken Sie hier [1]
Nach dem Update wird sie einer unserer Mitarbeiter kontaktieren,
um den
gesamten Prozess zu vervollstaendigen. Nach dem Update ist Ihr
Girokonto
wieder einwandfrei gesichert und Sie koennen es wie gewohnt
nutzen.
Wir
wollen Ihnen im Voraus für Ihre Mitarbeit danken.
https://banking.ksk
[2]- ratzeburg.de
Mit freundlichen GrüÃ"Yen
Ihre Sparkasse
Links:
------
[1]
//see/public_html/sparkasse/sparkasse.de.htm
[2]
https://banking.ksk/
--=_459118bc22e5d6bad00e27d3b77440a0
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="UTF-8""
قبل پاک کردن زیپ کردم
دانلود see zip
---------------------------------------
یه ایمیل دیگه اومده
Return-Path: <[email protected]>
X-Spam-Checker-Version: SpamAssassin 3.2.1 (2007-05-02) on
selfcom.cronon.org
X-Spam-Level:
X-Spam-Status: No, score=0.8 required=5.0
tests=FUZZY_CREDIT,HTML_MESSAGE,
MISSING_SUBJECT,RCVD_IN_DNSWL_LOW autolearn=no version=3.2.1
X-Spam-POPAuth: No
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from localhost (localhost.localdomain [127.0.0.1])
by confixx.selfcom.de (Postfix) with ESMTP id 09A4AE2D85
for <[email protected]>; Wed, 3 Apr 2013 12:24:03
+0200 (CEST)
Received: from confixx.selfcom.de ([127.0.0.1])
by localhost (selfcom [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 03821-08 for <[email protected]>;
Wed, 3 Apr 2013 12:24:02 +0200 (CEST)
Received: from zim.pcz.pl (zim.pcz.czest.pl [212.87.231.130])
by confixx.selfcom.de (Postfix) with ESMTP id E06B0E2C01
for <[email protected]>; Wed, 3 Apr 2013 12:23:57
+0200 (CEST)
Received: by zim.pcz.pl (Postfix, from userid 1002)
id 881EB12C1DD; Wed, 3 Apr 2013 12:23:56 +0200 (CEST)
To: undisclosed-recipients:;
Subject:
MIME-Version: 1.0
Date: Wed, 03 Apr 2013 12:23:55 +0200
From: Sparkasse Online <[email protected]>
Message-ID: <[email protected]>
X-Sender: [email protected]
User-Agent: RoundCube Webmail/0.2.2
Content-Type: multipart/alternative;
boundary="=_459118bc22e5d6bad00e27d3b77440a0"
X-Virus-Scanned: by amavisd-new-20030616-p10 (Debian) at
selfcom.de
X-PMFLAGS: 570950016 0 1 P6EMF4QW.CNM
--=_459118bc22e5d6bad00e27d3b77440a0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="UTF-8"
Sehr geehrter Kunde,
im vergangenen Jahr wurde die Sparkasse zusammen
mit vielen anderen Deutschen Kreditinstituten das Ziel eines
weit
verbreiteten Internet-Betruges. Daher haben wir ein Projekt zur
Bekaempfung
gestartet.
Auf allen Online-Girokonten soll nun ein neu entwickeltes
Sicherheitssystem installiert werden, welches verdächtige
Bewegungen und
Transaktionen schnell aufspueren und loesen kann.
Wir haben festgestellt,
dass Ihr Girokonto noch nicht mit diesem Sicherheitssystem
ausgestattet ist
und bitten Sie 5-10 Minuten Zeit zu investieren, um dieses
Sicherheitsupdate/MaÃ"Ynahmen zu vervollständigen.
klicken Sie hier [1]
Nach dem Update wird sie einer unserer Mitarbeiter kontaktieren,
um den
gesamten Prozess zu vervollstaendigen. Nach dem Update ist Ihr
Girokonto
wieder einwandfrei gesichert und Sie koennen es wie gewohnt
nutzen.
Wir
wollen Ihnen im Voraus für Ihre Mitarbeit danken.
https://banking.ksk
[2]- ratzeburg.de
Mit freundlichen GrüÃ"Yen
Ihre Sparkasse
Links:
------
[1]
//see/public_html/sparkasse/sparkasse.de.htm
[2]
https://banking.ksk/
--=_459118bc22e5d6bad00e27d3b77440a0
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="UTF-8""
صفحه phishing بانک آلمانیه (sparkasse). الان روی هاستت چه اسکریپت هایی نصب هست؟ دوباره اضافه شده؟
هاستت از کجاست؟
هاستت از کجاست؟
tiyam 01
Registered User
- تاریخ عضویت
- 5 جولای 2009
- نوشتهها
- 6,186
- لایکها
- 7,730
هاست از میهن وب هاست
اسکرپیت (cms) اول نیوک لرن بود دو هفته پیش حذف کردم، بعد چند روز پیش دیتالایف نصب کردم، اونم دیروز حذف کردم. الان پرستا شاپ و ویرچول فریر نصبه. 2-3 هفته ای میشه اینطور شده اسکریپتها از چند ماه پیش نصب هستن
دیروز پوشه اضافه شده بود، حذف کردم. امروز اضافه نشده
اگر اسکریپت ها رو حذف کردی و دوباره پیداشون شده مشکل از هاسته. رمزهای سی پنل و اف تی پی و ایمیل هم تغییر بده!