Наверное взломали!

[furimomoLED 0]

Здравствуйте! Начну с того что я полный ноль, мне даже не ясно что конкретно я должен спросить))

У меня есть сайт, вот он. Посмотреть на него у вас к сожалению не получится, собственно это и является моей проблемой. С начала недели мне на почту приходят письма, вот их содержания:

image001.jpg7,4 КБПосмотретьСкачать


Уважаемые сотрудники ,

Мы подозреваем, что в отношении вашего вебсайта led-dom.com совершены мошеннические действия. В настоящее время ваш вебсайт предоставляет некоему лицу ресурсы для осуществления фишинга в отношении Tangerine Forward Banking.
Просим вас немедленно удалить все каталоги и файлы, являющиеся источником мошеннических действий, и предпринять меры для защиты своего вебсайта, безопасность которого в настоящее время находится под угрозой.

http://led-dom.com/image/cache/data/suvenirka/fonari/Simple Tangerine Forward Banking Online Canada/index.php

Кроме того, просим вас предоставить нам все исходные файлы-источники мошеннических действий.

Если у вас возникнут дополнительные вопросы или вам потребуется помощь, просим вас связаться с нами. Мы будем благодарны вам за
сотрудничество.


Best Regards,

RSA Anti-Fraud Command Center
RSA, The Security Division of EMC
US Phone: +1-866-408-7525
Email: afcc@rsa.com
For more information about RSA's AFCC
http://www.rsa.com/node.aspx?id=3348

Тем, кого это касается

RSA, отдел по безопасности EMC (“RSA”), компании, которая занимается обеспечением информационной безопасности, был назначен способствовать Tangerine Forward Banking в предотвращении или прекращении онлайновой деятельности, которая направлена или может быть направлена против клиентов Tangerine Forward Banking как потенциальных жертв мошенничества.

RSA был уведомлен, что Ваша компания предоставляет услуги интернета веб-сайту, который осуществляет несанкционированное использование товарного знака Tangerine Forward Banking. Этот сайт http://led-dom.com/image/cache/data/suvenirka/fonari/Simple Tangerine Forward Banking Online Canada/index.php не только нарушает авторские права, товарные знаки и другие права интеллектуальной собственности Tangerine Forward Banking, но может также стать источником «фишинг»-атаки или других мошеннических схем, направленных против Tangerine Forward Banking и клиентов Tangerine Forward Banking

Мошеннический веб-сайт не только представляет собой неправомерное присвоение интеллектуальной собственности Tangerine Forward Banking; цель его деятельности – ввести в заблуждение клиентов Tangerine Forward Banking Наш опыт показывает, что такие сайты становятся источниками фишинга* и других мошеннических схем, направленных против влажедьцев счетов нашего клиента.

Просим вас принять все необходимые меры для немедленного прекращения деятельности фальшивого веб-сайта, перекрытия его доступности в интернете и прекращения отправки любых сообщений электронной почты, связанных с упомянутым веб-сайтом.

Мы понимаем, что вы могли не знать о подобном незаконном использовании ваших услуг, и высоко ценим ваше сотрудничество.

Мы также просим вас предпринять следующие действия, где это уместно или возможно:

Просим вас предоставить нам файл типа tar/zip, который содержит исходный код этого веб-сайта. Это даст нам возможность проанализировать его -- с целью предотвращения подобных атак в будущем.
Если ваша система или оборудование зафиксировали и хранят любые данные о клиентах, то мы также просим отправить их нам. Это позволит известить клиентов, к которым эти данные имеют отношение, и принять меры для защиты их счетов и.
В частности, мы просим Вас предоставить нам также копии любых имеющихся у вас записей, которые содержат имя, контактную информацию, способ платежа или любые другие подобные сведения. Эти сведения могли бы помочь нам определить личность и местонахождение клиента, в интересах которого функционирует такой веб-сайт. Все вышесказанное не наносит ущерба любым и всем правам и средствам защиты прав любого финансового учреждения в связи с данным вопросом, которые настоящим четко сохраняются.

RSA представляет Вам уведомление в интересах предотвращения разрастания схем фишинга, и информация, содержащаяся здесь, предоставляется Вам на условиях «как есть», без заверения или гарантий какого-либо рода Благодарим вас за сотрудничество, направленное на предотвращение и прекращение подобной мошеннической деятельности.

Если Вам необходима дальнейшая информация, пожалуйста, обращайтесь в RSA по номерам, указанным ниже.

Искренне ваши,

*RSA SECURITY INC.

RSA Anti Fraud Command Center (Центр по борьбе с мошенничеством)
Тел: +44 (0)800-032-7751 (Великобритания)
Тел: +1-866-408-7525 (США)
Электронная почта: afcc@rsa.com

*"Фишинг" – обычно относится к разнообразным сетевым мошенническим схемам, которые пользуются незаконным веб-сайтом, который представляет себя как то финансовое учреждение, на которое он нацеливается, вместе с относящимися к нему данными, пунктами сбора (включая учетные записи электронной почты) с тем, чтобы обманным путем заставить владельцев счетов финансового учреждения раскрыть свою личную информацию, такую, как, включая, но не ограничиваясь этим, номера счетов их кредитной или дебетовой карточек, информация о текущем счете, Номера социального страхования или пароли банковских счетов,через веб-сайт этого нелегала или ответом на сообщение электронную почты. Как только эти данные о владельце счета зафиксированы, они могут потом использоваться для совершения мошеннических действий в сети или других аналогичных действий преступного характера.

To whom it may concern,

RSA, The Security Division of EMC (“RSA”), an information security company, has been appointed to assist Tangerine Forward Banking in preventing or terminating online activity that targets, or may target Tangerine Forward Banking’s clients as potential fraud victims.

RSA has been made aware that your company appears to be providing internet services to a website, which is making unauthorized use of Tangerine Forward Banking’s trademarks. This site http://led-dom.com/image/cache/data/suvenirka/fonari/Simple Tangerine Forward Banking Online Canada/index.php not only violates Tangerine Forward Banking’s copyright, trademarks and other intellectual property rights, but may also become a host to a phishing attack, or other fraudulent scams directed against Tangerine Forward Banking and Tangerine Forward Banking’s clients.

The fraudulent website not only represents a misappropriation of Tangerine Forward Banking’s intellectual property; its purpose is to mislead Tangerine Forward Banking’s clients. Our experience has shown that such sites become a host of phishing* and other fraudulent scams against our customer’s account holders.

Please take all necessary steps to immediately shut down the fraudulent website, terminate its availability on the Internet and discontinue the transmission of any e-mails associated with this website.

We understand that you may not be aware of this improper use of your services and we appreciate your cooperation. We specifically ask that you also take the following actions wherever relevant or possible:

Please provide us with a tar/zip file of the source code for this website, so that we may analyze it to help prevent further attacks;
If any customer data has been captured that is stored on your systems or equipment, please send us that data so that the customers to whom that data relates can be notified and take steps to protect their credit;
We specifically would ask that you also provide a copy of any records you maintain that indicate the name, contact information, method of payment or similar information that may be useful in helping learn the identity and location of the customer for whom the website has been operated.

The foregoing is without prejudice to any and all of rights and remedies of any financial institution in connection with this matter, which are hereby expressly reserved.

RSA is providing this notification to you in the interest of preventing the proliferation of phishing scams and the information contained herein is provided to you on an "AS-IS" basis, without representation or warranty of any kind.

Thank you for your cooperation to prevent and terminate this fraudulent activity.


If you need further information, please do not hesitate to contact RSA at the numbers below.

Sincerely,

RSA SECURITY INC.



RSA Anti-Fraud Command Center
Tel: +44 (0)800-032-7751
Tel: +1-866-408-7525
E-mail:afcc@rsa.com
*“Phishing” generally refers to a variety of web based scams that make use of an illegitimate website which passes itself off as being that of a targeted financial institution together with associated data collection points (including web based email accounts) in order to deceive the account holders of the financial institution into revealing their personal information, including but not limited to their credit or debit account numbers, checking account information, social security numbers, or banking account passwords. Once these account holder credentials are collected they can then be used to commit wire fraud or other similar activities of a criminal nature.



56

Уважаемые владелец / владелица вебсайта,

Мы подозреваем, что в отношении вашего вебсайта *** Website: led-dom.com *** совершены мошеннические действия. В настоящее время ваш вебсайт
содержит файл, имитирующию страницу Tangerine Forward Banking.

Мошеннический файл находится здесь :

led-dom . com / image / cache / data / suvenirka / fonari / Simple Tangerine Forward Banking Online Canada / index . php

Пожалуйста, обратите внимание, что мы послали вам отдельное официальное
сообщение, содержащее полную информацию.Oно возможно попало в ваш спам.

Просим вас немедленно удалить все папки и файлы, являющиеся источником
мошеннических действий.

Если у вас возникнут дополнительные вопросы или вам потребуется помощь,
просим вас связаться с нами ,ответив по этой электронной почте .

Мы будем благодарны вам за сотрудничество.

RSA Anti Fraud Command Center

RSA [dot] com

　
56

Уважаемые сотрудники ,

Мы подозреваем, что в отношении вашего вебсайта led-dom.com совершены мошеннические действия. В настоящее время ваш вебсайт предоставляет некоему лицу ресурсы для осуществления фишинга в отношении Tangerine Forward Banking.
Просим вас немедленно удалить все каталоги и файлы, являющиеся источником мошеннических действий, и предпринять меры для защиты своего вебсайта, безопасность которого в настоящее время находится под угрозой.

http://led-dom.com/image/cache/data/suvenirka/fonari/Simple Tangerine Forward Banking Online Canada/index.php

Кроме того, просим вас предоставить нам все исходные файлы-источники мошеннических действий.

Если у вас возникнут дополнительные вопросы или вам потребуется помощь, просим вас связаться с нами. Мы будем благодарны вам за
сотрудничество.


Best Regards,

RSA Anti-Fraud Command Center
RSA, The Security Division of EMC
US Phone: +1-866-408-7525
Email: afcc@rsa.com
For more information about RSA's AFCC
http://www.rsa.com/node.aspx?id=3348

Тем, кого это касается

RSA, отдел по безопасности EMC (“RSA”), компании, которая занимается обеспечением информационной безопасности, был назначен способствовать Tangerine Forward Banking в предотвращении или прекращении онлайновой деятельности, которая направлена или может быть направлена против клиентов Tangerine Forward Banking как потенциальных жертв мошенничества.

RSA был уведомлен, что Ваша компания предоставляет услуги интернета веб-сайту, который осуществляет несанкционированное использование товарного знака Tangerine Forward Banking. Этот сайт http://led-dom.com/image/cache/data/suvenirka/fonari/Simple Tangerine Forward Banking Online Canada/index.php не только нарушает авторские права, товарные знаки и другие права интеллектуальной собственности Tangerine Forward Banking, но может также стать источником «фишинг»-атаки или других мошеннических схем, направленных против Tangerine Forward Banking и клиентов Tangerine Forward Banking

Мошеннический веб-сайт не только представляет собой неправомерное присвоение интеллектуальной собственности Tangerine Forward Banking; цель его деятельности – ввести в заблуждение клиентов Tangerine Forward Banking Наш опыт показывает, что такие сайты становятся источниками фишинга* и других мошеннических схем, направленных против влажедьцев счетов нашего клиента.

Просим вас принять все необходимые меры для немедленного прекращения деятельности фальшивого веб-сайта, перекрытия его доступности в интернете и прекращения отправки любых сообщений электронной почты, связанных с упомянутым веб-сайтом.

Мы понимаем, что вы могли не знать о подобном незаконном использовании ваших услуг, и высоко ценим ваше сотрудничество.

Мы также просим вас предпринять следующие действия, где это уместно или возможно:

Просим вас предоставить нам файл типа tar/zip, который содержит исходный код этого веб-сайта. Это даст нам возможность проанализировать его -- с целью предотвращения подобных атак в будущем.
Если ваша система или оборудование зафиксировали и хранят любые данные о клиентах, то мы также просим отправить их нам. Это позволит известить клиентов, к которым эти данные имеют отношение, и принять меры для защиты их счетов и.
В частности, мы просим Вас предоставить нам также копии любых имеющихся у вас записей, которые содержат имя, контактную информацию, способ платежа или любые другие подобные сведения. Эти сведения могли бы помочь нам определить личность и местонахождение клиента, в интересах которого функционирует такой веб-сайт. Все вышесказанное не наносит ущерба любым и всем правам и средствам защиты прав любого финансового учреждения в связи с данным вопросом, которые настоящим четко сохраняются.

RSA представляет Вам уведомление в интересах предотвращения разрастания схем фишинга, и информация, содержащаяся здесь, предоставляется Вам на условиях «как есть», без заверения или гарантий какого-либо рода Благодарим вас за сотрудничество, направленное на предотвращение и прекращение подобной мошеннической деятельности.

Если Вам необходима дальнейшая информация, пожалуйста, обращайтесь в RSA по номерам, указанным ниже.

Искренне ваши,

*RSA SECURITY INC.

RSA Anti Fraud Command Center (Центр по борьбе с мошенничеством)
Тел: +44 (0)800-032-7751 (Великобритания)
Тел: +1-866-408-7525 (США)
Электронная почта: afcc@rsa.com

*"Фишинг" – обычно относится к разнообразным сетевым мошенническим схемам, которые пользуются незаконным веб-сайтом, который представляет себя как то финансовое учреждение, на которое он нацеливается, вместе с относящимися к нему данными, пунктами сбора (включая учетные записи электронной почты) с тем, чтобы обманным путем заставить владельцев счетов финансового учреждения раскрыть свою личную информацию, такую, как, включая, но не ограничиваясь этим, номера счетов их кредитной или дебетовой карточек, информация о текущем счете, Номера социального страхования или пароли банковских счетов,через веб-сайт этого нелегала или ответом на сообщение электронную почты. Как только эти данные о владельце счета зафиксированы, они могут потом использоваться для совершения мошеннических действий в сети или других аналогичных действий преступного характера.

To whom it may concern,

RSA, The Security Division of EMC (“RSA”), an information security company, has been appointed to assist Tangerine Forward Banking in preventing or terminating online activity that targets, or may target Tangerine Forward Banking’s clients as potential fraud victims.

RSA has been made aware that your company appears to be providing internet services to a website, which is making unauthorized use of Tangerine Forward Banking’s trademarks. This site http://led-dom.com/image/cache/data/suvenirka/fonari/Simple Tangerine Forward Banking Online Canada/index.php not only violates Tangerine Forward Banking’s copyright, trademarks and other intellectual property rights, but may also become a host to a phishing attack, or other fraudulent scams directed against Tangerine Forward Banking and Tangerine Forward Banking’s clients.

The fraudulent website not only represents a misappropriation of Tangerine Forward Banking’s intellectual property; its purpose is to mislead Tangerine Forward Banking’s clients. Our experience has shown that such sites become a host of phishing* and other fraudulent scams against our customer’s account holders.

Please take all necessary steps to immediately shut down the fraudulent website, terminate its availability on the Internet and discontinue the transmission of any e-mails associated with this website.

We understand that you may not be aware of this improper use of your services and we appreciate your cooperation. We specifically ask that you also take the following actions wherever relevant or possible:

Please provide us with a tar/zip file of the source code for this website, so that we may analyze it to help prevent further attacks;
If any customer data has been captured that is stored on your systems or equipment, please send us that data so that the customers to whom that data relates can be notified and take steps to protect their credit;
We specifically would ask that you also provide a copy of any records you maintain that indicate the name, contact information, method of payment or similar information that may be useful in helping learn the identity and location of the customer for whom the website has been operated.

The foregoing is without prejudice to any and all of rights and remedies of any financial institution in connection with this matter, which are hereby expressly reserved.

RSA is providing this notification to you in the interest of preventing the proliferation of phishing scams and the information contained herein is provided to you on an "AS-IS" basis, without representation or warranty of any kind.

Thank you for your cooperation to prevent and terminate this fraudulent activity.


If you need further information, please do not hesitate to contact RSA at the numbers below.

Sincerely,

RSA SECURITY INC.



RSA Anti-Fraud Command Center
Tel: +44 (0)800-032-7751
Tel: +1-866-408-7525
E-mail:afcc@rsa.com
*“Phishing” generally refers to a variety of web based scams that make use of an illegitimate website which passes itself off as being that of a targeted financial institution together with associated data collection points (including web based email accounts) in order to deceive the account holders of the financial institution into revealing their personal information, including but not limited to their credit or debit account numbers, checking account information, social security numbers, or banking account passwords. Once these account holder credentials are collected they can then be used to commit wire fraud or other similar activities of a criminal nature.



1

один файл7,4 КБ

image001.jpg7,4 КБ
Скачать

2 файла300 КБСкачать одним архивом

Добрый день!

Командой CERT-GIB был обнаружен предположительный взлом ресурса led-dom.com (IP: 5.19.197.181).

Рекомендуем Вам принять соответствующие меры для нейтрализации последствий взлома.

Ниже представлены соответствующие признаки, указывающие на компрометацию ресурса led-dom.com :

http://led-dom.com/image/cache/data/suvenirka/fonari/Simple%20Tangerine%20Forward%20Banking%20Online%20Canada/index.php :



Рекомендуем Вам принять соответствующие меры представленные в приложении, для устранения последствий взлома Вашего ресурса и предотвращения повторных взломов в будущем.

В рамках данного инцидента CERT-GIB проводит расследование. В связи с этим, просим Вас предоставить нам любую информацию касающуюся данного инцидента:

- Скрипты, лог-файлы и исходные файлы.
- Любая друга информация, которая может помочь расследованию (мы будем рады и любой информации, даже незначительной на первый взгляд).

Если Вам потребуются услуги по выявлению и предотвращению аналогичных инцидентов в будущем, то Вы можете обратиться за консультацией в компанию Group-IB по электронной почте sales@group-ib.ru

Благодарим за сотрудничество.
--
В область компетенции Group-IB/CERT-GIB (http://www.group-ib.ru/), в соответствии с соглашением с Координационным центром национального домена сети Интернет, входит противодействие использованию доменных имен в целях фишинга, несанкционированного доступа в информационные системы третьих лиц, распространения вредоносных программ и управления вредоносными программами (бот-сетями). http://www.cctld.ru/ru/registrators/competent/
2 файла300 КБСкачать одним архивом

 

Все сообщения были оставлены без должного внимания и удалены в спам. Далее на мобильный и стационарный телефон стали поступать звонки. Звонил иностранец, говорящий на ломаном русском и акцентом.

 

В разговоре он объяснил суть проблемы и попросил помочь ему её устранить. Я максимально постарался оказать ему помощь, но из-за отсутствия знаний, помочь успешно я ему не смог.

А теперь стали поступать жалобы от клиентов которые утверждают что на сайт невозможно зайти, хотя с рабочего компьютера у меня сайт функционирует корректно.

Ну и теперь я задаюсь вопросом, как это произошло и что теперь с этом делать?!

[AlexDW 1 150]

задать вопросы

1) хостеру

2) регистратору домена

[furimomoLED 0]

К сожалению, в ближайшее время, это сделать будет невозможно.

Кроме этого совета, есть возможно ещё какие ни будь другие. Может быть куда ни будь можно зайти и нажать какую ни будь кнопку?)

Изменено 7 октября, 2015 пользователем furimomoLED

[pashast 398]

Была похожая беда из-за варезной темы на вордпрессе. Регистратор домена, по первой же жалобе, не стал разбираться и просто вырубил домен  :-D

Ищите абузоустойчивый хостинг и регайте домен не в зоне .com

[furimomoLED 0]

Была похожая беда из-за варезной темы на вордпрессе. Регистратор домена, по первой же жалобе, не стал разбираться и просто вырубил домен  :-D

Ищите абузоустойчивый хостинг и регайте домен не в зоне .com

Не вариант, он этого не делал. Инфо 100%

[AlexDW 1 150]

думаю, ключевое слово "варез" ;)

для информации

 

абузоустойчивый хостинг используют как правило те, кто изначально нацелен на темные делишки

 

обычному магазину - просто найти нормального хостера +домен желательно регистрировать у русскоязычных регистраторов - будет проще общаться

[furimomoLED 0]

думаю, ключевое слово "варез" ;)

Возможно, от части. Пароль был незамысловатым....  :mellow: 

Я вот ещё спросить хотел. Управление сайтом осуществляется через панель управления и только? Я почему спрашиваю, просто там всё настолько скудно, что так просто не может быть)

Как например редактировать оформление?)

[AlexDW 1 150]

Возможно, от части.

угу..

если в бочку меда добавить ложку г@вна - будет бочка г@вна

 

понятия не имею что вы подразумеваете под управлением сайтом

если речь про opencart - настройки оформления (внешнего вида магазина) зависят от установленной темы, в каких-то внешний вид целиком можно настраивать из админки

какие-то - по старинке, ручной правкой файлов

[nikifalex 496]

Довериться специалистам, которые решат проблему, в вашем случае будет самым адекватным решением.

[afwollis 1 110]

в спойлерах достаточно четко описано, в чем проблема и что надо БЫЛО сделать, чтобы устранить и получить возможность начать анализ ситуации/дыр-в-системе.

В разговоре он объяснил суть проблемы и попросил помочь ему её устранить. Я максимально постарался оказать ему помощь, но из-за отсутствия знаний, помочь успешно я ему не смог.

скорее это ОН пытался помочь устранить проблему с магазином.

теперь только к хостеру, регистратору доменного имени и тем самым RSA (которые писали эти письма

Best Regards,

RSA Anti-Fraud Command Center

RSA, The Security Division of EMC

US Phone: +1-866-408-7525

Email: afcc@rsa.com

For more information about RSA's AFCC

http://www.rsa.com/node.aspx?id=3348

) для решения вопроса с восстановлением работоспособности домена и сайта.

[furimomoLED 0]

К ним же предлагаешь и обратится за помощью?)

[afwollis 1 110]

у тебя домен сдох - это к регистратору (у которого ты покупал/регистрировал домен).

к хостеру за дополнительными пояснениями с вопросом "как обстоят дела с моим сайтом?" (или типа того).

к RSA, возможно, придется обращаться, если это действительно по их инициативе произошло.

[furimomoLED 0]

А есть какая ни будь возможность связаться с OpenCart, номер телефона тех. поддержки или почта?!

[AlexDW 1 150]

А есть какая ни будь возможность связаться с OpenCart, номер телефона тех. поддержки или почта?!

а смысл?

они к вашей проблеме никакого отношения не имеют

 

уже сказали что делать

у тебя домен сдох - это к регистратору (у которого ты покупал/регистрировал домен).

к хостеру за дополнительными пояснениями с вопросом "как обстоят дела с моим сайтом?" (или типа того).

к RSA, возможно, придется обращаться, если это действительно по их инициативе произошло.

 

по-другому - никак, даже если Путину написать :-)

[mihlosk 0]

 у русскоязычных регистраторов - будет проще общаться

только не у русскоязычных, создал сайты на nic.ru а сегодня оба сайта у меня внезапно обвалились, поменяли папки в базах данных..и всё бы ничего..вот только эти два сайта были одной тематики, рядом стояли сайты с другой тематикой - там всё нормально.. nic.ru божаться что они здесь не при чём..типа взлом был сайта...но что-то мне плохо вериться в случайности и совпадения...так что я уж лучше в европу..им наши домены в д.з. рф и ru как ежу футболка....

Изменено 17 февраля, 2016 пользователем mihlosk