Под спойлером перевод с украинского
Вам выдвигается предупреждение, так как ваш сайт пришла жалоба, о размещении фишинг контента на нем. Речь идет о ссылке МОЙ САЙТ/chase.com/login.php
Мы удалили фишинг с сервера, т.е. следующие файлы и каталоги
drwxr-xr-x 4 4096 Sep 13 15:55 chase.com/
drwxr-xr-x 2 4096 Sep 13 15:24 cgi-bin/
-rw-r--r-- 1 29463 Sep 13 15:34 details.php
-rw-r--r-- 1 47070 Sep 14 11:08 error_log
-rw-r--r-- 1 15153 Sep 13 15:34 error.php
-rw-r--r-- 1 258 Sep 13 15:34 Finish.php
drwxr-xr-x 2 4096 Sep 13 15:36 images/
-rw-r--r-- 1 88 Sep 13 15:36 index.php
-rw-r--r-- 1 18418 Sep 13 15:36 login.php
-rw-r--r-- 1 5537 Sep 13 15:36 Logon.php
-rw-r--r-- 1 1438 Sep 13 15:36 mil75.php
Загрузка фишинг файлов было осуществлено через ФТП доступ МОЙ ЛОГИН@41.210.30.17
Ниже приведена вырезка из журнала доступа к сайту:
Sep 13 15:34:30 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/45948_billpay_home_155x90.gif uploaded (7388 bytes, 9.02KB/sec)
Sep 13 15:34:30 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/Finish.php uploaded (258 bytes, 1.01KB/sec)
Sep 13 15:34:32 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/alert.gif uploaded (433 bytes, 1.39KB/sec)
Sep 13 15:34:33 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_black_rt.gif uploaded (59 bytes, 0.12KB/sec)
Sep 13 15:34:34 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_blue_rt-short.gif uploaded (62 bytes, 0.25KB/sec)
Sep 13 15:34:36 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_blue_rt.gif uploaded (59 bytes, 0.25KB/sec)
Sep 13 15:34:36 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_dblue_on_white.gif uploaded (71 bytes, 0.32KB/sec)
Sep 13 15:34:38 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_green_rt.gif uploaded (58 bytes, 0.14KB/sec)
Sep 13 15:34:38 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_outlined-short.gif uploaded (152 bytes, 0.47KB/sec)
Sep 13 15:34:40 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_outlined.gif uploaded (145 bytes, 0.63KB/sec)
Sep 13 15:34:42 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_outlined_green.gif uploaded (181 bytes, 0.45KB/sec)
Sep 13 15:34:42 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/error.php uploaded (15153 bytes, 11.75KB/sec)
Sep 13 15:34:45 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/bk-dash.gif uploaded (53 bytes, 0.13KB/sec)
Sep 13 15:34:47 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/details.php uploaded (29463 bytes, 10.71KB/sec)
.........
===========================================================================================================================
Мы заблокировали доступ из сети 41.210.0.0/16 к нашему серверу.
Текст жалобы:
"Уважаемые господа:
Компания "RSA " работает в сфере борьбы с мошенничеством и обеспечения безопасности. Нами заключен договор с компанией JPMorgan Chase и связанными с ней юридическими лицами об оказании помощи по предотвращению или прекращению онлайновой деятельности, направленной против клиентов JPMorgan Chase's Bank как потенциальных жертв мошенничества. Компании RSA стало известно, что вы предоставляете интернет-услуги мошеннической страничке, которая является частью жульнической системы типа "фишинг"**. Эта деятельность нарушает авторские права, товарные знаки и иные права интеллектуальной собственности JPMorgan Chase's Bank и может нарушать уголовное законодательство Соединенных Штатов и других стран.
Некое физическое или юридическое лицо широко рассылает различным пользователям сообщения электронной почты, которые выглядят как отправленные JPMorgan Chase. Эти сообщения используют имя и идентификационные признаки (включая товарные знаки) компании JPMorgan Chase's Bank без ее разрешения. В тексте сообщений получателям предлагается проверить и передать уязвимые данные, связанные с их банковскими счетами в JPMorgan Chase. Эти мошеннические сообщения содержат ссылку, которая приводит пользователей к "фальшивой" страничке в интернете, демонстрирующей защищенные авторскими правами материалы и товарные знаки JPMorgan Chase's Bank. Мошенническая страничка размещена по следующему адресу URL: МОЙ САЙТ/chase.com/login.php, по которому вы, по всей видимости, предоставляете услуги и который, очевидно, находится под вашим контролем.
Мошенническая страничка не только представляет собой ненадлежащее использование интеллектуальной собственности JPMorgan Chase's Bank; ее целью является получение персональной информации клиентов JPMorgan Chase обманным путем с целью мошеннического доступа к их банковским счетам. Лица, скрывающиеся за такими интернет-страничками, обычно связаны с деятельностью по краже личных данных, в частности, с использованием кредитных карточек или банковских счетов клиента без его разрешения. Более того, поскольку абсолютное большинство таких сообщений электронной почты отправляется вовсе не в адрес фактических клиентов JPMorgan Chase, такие действия могут нанести ущерб репутации и имиджу компании.
Если вы действительно предоставляете услуги упомянутой выше интернет-страничке, и если она действительно находится под вашим контролем, о чем свидетельствуют полученные нами данные, просим вас принять все необходимые меры для немедленного прекращения работы фальшивой интернет-странички, перекрытия ее доступа к интернету и прекращения отправки любых сообщений электронной почты, связанных с упомянутой интернет-страничкой.
Мы понимаем, что вы могли не знать о подобном незаконном использовании ваших услуг, и высоко ценим ваше сотрудничество. Мы также просим вас предпринять следующие действия:
Просим предоставить нам файл типа tar/zip, который содержит исходный код этой странички. Это даст нам возможность проанализировать его с целью предотвращения подобных атак в будущем.
Если ваша система или оборудование зафиксировали и хранят любые данные о клиентах, то мы также просим отправить их нам. Это позволит известить клиентов, к которым относятся эти данные, и предпринять меры для защиты их счетов.
Мы просим также предоставить копии любых имеющихся у вас записей, которые содержат имя, контактную информацию, метод платежа или любые иные подобные сведения. Эти сведения могли бы помочь нам определить личность и местонахождение клиента, в интересах которого функционировала такая интернет-страничка.
Благодарим вас за сотрудничество, направленное на предотвращение и прекращение подобной мошеннической деятельности.
Искренне ваши
RSA Anti Fraud Command Center (Центр по борьбе с мошенничеством)
Тел: +44 (0)800-032-7751 (Великобритания)
Тел: +1-866-408-7525 (США)
Тел: +353-21-4946601
ЕС Факс: +353 214 938 300
США Факс: +1-212-208-4644
Электронная почта: afcc@rsasecurity.com
www.rsa.com
For more information about RSA's AFCC www.rsa.com/node.aspx?id=3348
