Жалобы от хостера (ссылка с параметром s)

[mishok_by]

Добрый день, хостер уже 2 раза блокировал форум, и всё время присылает ссылки вида ".../index.php?s=***************************&", мол "нам пришла жалоба на данную страницу". В параметре в последний раз было "7ee602b05e2ea94fbc625ec1ecea0899&" если это имеет значение. Насколько мне известно, через данный параметр передаётся uid сессии при отключенных куках в браузере пользователя?

 

Если так, то подскажите пожалуйста, где и в чём может быть проблема... хостер никаких пояснений не делает, лишь кидает ссылку и блочит сайт. При переходе по указанной ссылке у меня открывается просто главная страница форума, что собственно судя по всему и должно происходить..

 

Версия IPB 2.3.5

Изменено 9 Ноября 2010 пользователем mishok_by

[Sannis]

Что за хостер?

Если ли причины для жалобы на вас (кроме нелицензионности скрипта)?

[mishok_by]

хостер - хостленд

 

всё же прислали подробную инфу, говорят приходят абузы от автоматической системы:

 

Dear abuse team,

 

please help to close these offending viruses sites(1) so far.

 

status: As of 2010-11-09 11:11:05 CET

http://support.clean-mx.de/clean-mx/viruses.php?email=support@hostland.ru&r[..]

 

...

 

If your review this list of offending site, please do this carefully, pay attention for redirects also! Also, please consider this particular machines may have a root kit installed! So simply deleting some files or dirs or disabling cgi may not really solve the issue!

 

Advice: The appearance of a Virus Site on a server means that someone intruded into the system. The server's owner should disconnect and not return the system into service until an audit is performed to ensure no data was lost, that all OS and internet software is up to date with the latest security fixes, and that any backdoors and other exploits left by the intruders are closed. Logs should be preserved and analyzed and, perhaps, the appropriate law enforcement agencies notified.

 

DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY PROBLEM, THEY WILL BE BACK!

 

You may forward my information to law enforcement, CERTs, other responsible admins, or similar agencies.

 

+-----------------------------------------------------------------------------------------------

 

|date |id |virusname |

+-----------------------------------------------------------------------------------------------

|2010-11-09 10:17:12 CET |686663 |unknown_html_RFI |

|http://.../index.php? = 7ee602b05e2ea94fbc625ec1ecea0899&

+-----------------------------------------------------------------------------------------------

 

 

Your email address has been pulled out of whois concerning this offending network block(s). If you are not concerned with anti-fraud measurements, please forward this mail to the next responsible desk available...

 

 

If you just close(d) these incident(s) please give us a feedback, our automatic walker process may not detect a closed case

 

explanation of virusnames:

==========================

unknown_html_RFI_php not yet detected by scanners as RFI, but pure php code for injection

unknown_html_RFI_perl not yet detected by scanners as RFI, but pure perl code for injection

unknown_html_RFI_eval not yet detected by scanners as RFI, but suspect javascript obfuscationg evals

unknown_html_RFI not yet detected by scanners as RFI, but trapped by our honeypots as remote-code-injection

unknown_html not yet detected by scanners as RFI, but suspious, may be in rare case false positive

unknown_exe not yet detected by scanners as malware, but high risk!

all other names malwarename detected by scanners

==========================

 

Я не очень много слышал о RFI.. может ли быть чисто теоретически такое, что в ссылке "?s=", передающей id сессии, содержится code injection?..

Изменено 9 Ноября 2010 пользователем mishok_by