ارسال Abuse اسپم از طرف هتزنر

[h2o_polo]

با سلام و عرض ادب
از طرف دیتا سنتر هتزنر برای بنده abuse اسپم ارسال شده .. سرور لینوکسی هستش .. میخوام بدونم بر روی سرورم چه کاری باید انجام بدم تا از این مورد در آینده جلوگیری شود ..

We have received spam/abuse notification from reports@reports.cert-bund.de. Please take the necessary steps to prevent this from happening again in future.

یک فایل هم Attach ایمیل نموده اند :

For queries, please contact: certbund@bsi.bund.de

from trusted external sources, CERT-Bund received information on
systems infected with malware on IP addresses hosted in Germany.

Please find below a list of affected systems on your network. Each
record includes the IP address of the affected system, a timestamp
and the name of the related malware family. If available, the record
also includes the source port, target IP, target port and target
hostname for the connection triggered by the malware to connect to
a command-and-control server.

Most of the malware families reported here include functions for
identity theft (harvesting of usernames and passwords) and/or
online-banking fraud.

We would like to ask you to check the issues reported and to take
appropriate steps to get the infected hosts cleaned up or notify
your customers accordingly.

- -----------------------------------------------------------------------
Affected systems on your network:

Format: ASN | IP | Timestamp (UTC) | Malware | Source Port | Target IP | Target Port | Protocol | Target Hostname
24940 | 156.9.125.285 | 2015-03-31 09:43:18 | Virut | 1114 | 145.91.191.121 | 80 | tcp |
.................................................. ..............................

با تشکر

[JeyServer]

با سلام و عرض ادب
از طرف دیتا سنتر هتزنر برای بنده abuse اسپم ارسال شده .. سرور لینوکسی هستش .. میخوام بدونم بر روی سرورم چه کاری باید انجام بدم تا از این مورد در آینده جلوگیری شود ..

We have received spam/abuse notification from reports@reports.cert-bund.de. Please take the necessary steps to prevent this from happening again in future.

یک فایل هم Attach ایمیل نموده اند :

For queries, please contact: certbund@bsi.bund.de

from trusted external sources, CERT-Bund received information on
systems infected with malware on IP addresses hosted in Germany.

Please find below a list of affected systems on your network. Each
record includes the IP address of the affected system, a timestamp
and the name of the related malware family. If available, the record
also includes the source port, target IP, target port and target
hostname for the connection triggered by the malware to connect to
a command-and-control server.

Most of the malware families reported here include functions for
identity theft (harvesting of usernames and passwords) and/or
online-banking fraud.

We would like to ask you to check the issues reported and to take
appropriate steps to get the infected hosts cleaned up or notify
your customers accordingly.

- -----------------------------------------------------------------------
Affected systems on your network:

Format: ASN | IP | Timestamp (UTC) | Malware | Source Port | Target IP | Target Port | Protocol | Target Hostname
24940 | 176.9.165.245 | 2015-03-31 09:43:18 | Virut | 1114 | 148.81.111.121 | 80 | tcp |
.................................................. ..............................

با تشکر

سلام
بنده قصد اسپم ندارم ولی شما مطمئنید که این ابیوز برای ارسال اسپم هست؟
پورتی که از سرور شما ذکر شده پورت 1114 هست و چطور شما از پورت 1114 ارسال ایمیل کنید؟
در ایمیل ذکر شده از پورت 1114 سرور شما یک نرم افزار مخرب به نام Virut شناسایی شده که با کمی جستجو درمورد این بدافزار متوجه میشید که با توجه به اینکه پورت سرور مقصد 80 هست ، این بد افزار سعی در DDOS به سرور دیگه ای داشته
توضیحات بد افزار Virut:
http://en.wikipedia.org/wiki/Virut

Virut is a malware botnet that is known to be used for cybercrime activities such as DDoS attacks, spam (in collaboration with the Waledac botnet), fraud, data theft, and pay-per-install activities. It spreads through executable file infection (through infected USB sticks and other media), and more recently, through compromised HTML files (thus infecting vulnerable browsers visiting compromised websites). It has infected computers associated with at least 890,000 IP addresses in Poland. In 2012, Symantec estimated that the botnet had control of over 300,000 computers worldwide, primarily in Egypt, Pakistan and Southeast Asia (including India). A Kaspersky report listed Virut as the fifth-most widespread threat in the third quarter of 2012, responsible for 5.5% of computer infections.

[kiarash-khatib]

اسپم ارسال نکردم و اینو بهتره به اقای یاسین سنجری بگید ایشون میدونند با این مشکل سر کله داشتن

[h2o_polo]

سلام
بنده قصد اسپم ندارم ولی شما مطمئنید که این ابیوز برای ارسال اسپم هست؟
پورتی که از سرور شما ذکر شده پورت 1114 هست و چطور شما از پورت 1114 ارسال ایمیل کنید؟
در ایمیل ذکر شده از پورت 1114 سرور شما یک نرم افزار مخرب به نام Virut شناسایی شده که با کمی جستجو درمورد این بدافزار متوجه میشید که با توجه به اینکه پورت سرور مقصد 80 هست ، این بد افزار سعی در DDOS به سرور دیگه ای داشته
توضیحات بد افزار Virut:
http://en.wikipedia.org/wiki/Virut

درود بر شما
ضمن تشکر از شما
عزیز در متن ایمیلی که هتزنر برای بنده ارسال نموده است نوشته spam/abuse
We have received spam/abuse notification from reports@reports.cert-bund.de. Please take the necessary steps to prevent this from happening again in future.

متن دومی که قرار دادم در واقع یک فایل .txt بود که به ایمیل Attach کرده بودند ..
با ین تفاسیر الان بنده چه کاری انجام دهم ؟؟
تشکر

- - - Updated - - -

اسپم ارسال نکردم و اینو بهتره به اقای یاسین سنجری بگید ایشون میدونند با این مشکل سر کله داشتن

لطف می کنید نام کاربری ایشون رو به بنده بدهید ..
سپاس

[JeyServer]

درود بر شما
ضمن تشکر از شما
عزیز در متن ایمیلی که هتزنر برای بنده ارسال نموده است نوشته spam/abuse
We have received spam/abuse notification from reports@reports.cert-bund.de. Please take the necessary steps to prevent this from happening again in future.

متن دومی که قرار دادم در واقع یک فایل .txt بود که به ایمیل Attach کرده بودند ..
با ین تفاسیر الان بنده چه کاری انجام دهم ؟؟
تشکر

بله نوشته شده spam "یا" abuse
اگر میتونید سرور تون رو با دستور netstat چک کنید که چه پروسسی پورت 1114 رو اشغال کرده و این قطعا بهترین سرنخ شماست!

[mhiizadi]

اسپم ارسال نکردم و اینو بهتره به اقای یاسین سنجری بگید ایشون میدونند با این مشکل سر کله داشتن

بازگشتون از BANNED USER رو تبریک و آغاز اسپم ارسال کردنتون رو تبریک میگم.
اگر میتونید در رابطه با مشکل راهنمایی کنید نه آفر ارسال کنید .


استارتر گرامی در صورت امکان فایل attach شده به ایمیل رو بزارید اینجا ( میتونید آی پی رو حذف کنید یا تغییرش بدید برای حفظ محرمانگی )

[secure_host]

با سلام
از سرور شما به سرور دیگران حمله DDOS می شود که این ممکن است دلایل متعددی داشته باشد که برخی از آنها به شرح ذیل می باشد.
1- وجود فایل مخرب دربنده سرور شما.
2- وجود فایل مخرب در یکی از سایت های میزبانی شده در سرور شما . که احتمال این مورد خیلی زیاد است.
3- هک شدن سرور و استفاده به عنوان BotNet Client

سرور تا بررسی نشود نمی توان مشکل را پیگیری و حل نمود.
در برخی اوقات با نصب فایروال می توان مشکل را برطرف نمود ولی در بعضی مواقع که outgoing port جز پورت های Trusted فایروال باشد . حتما باید سرور investigate شود . تا مشکل پیگیری و حل شود.

** نکته : چیزی که در متن Abuse برای من جالب بود صحبت از آی پی 156.9.125.285 بوده است . به octet آخر توجه نمایید. حداکثر مقدار octet آخر باید 255 باشد . این 285 چیست ؟
سواد من که در این مورد جواب نمیده. دوستان اگه می دونند نظر بدن :D
با تشکر