wir haben folgende Abusemeldung für Ihr Produkt web333 - Business 10 G (https://we20b.netcup.net) erhalten. Da die Meldung positiv geprüft wurde, musste Ihr Hosting Produkt aus Gründen der Sicherheit vorsorglich deaktiviert werden.
Bitte lassen Sie uns eine schriftliche Stellungsnahme per Post oder Fax zukommen. Wir benötigen Ihre Unterschrift. Einer Stellungsnahme per E-Mail können wir nicht entsprechen.
Bitte geben Sie dabei folgendes an:
- Wie es zu dem Vorfall kommen konnte
- Unterlassungserklärung das ein solcher Vorfall nicht erneut auftritt
- Zusicherung das alle schadhaften Daten ausnahmslos entfernt wurden
Für die Wartung Ihrer Seite können wir diese in Absprache Mo.-Fr. (außer an Feiertagen) zwischen 10-17 Uhr für einen Zeitraum von etwa 10 Minuten wieder freigeben (weitere Zeit ist nach Absprache möglich). Sobald das Problem vollständig behoben wurde und die eingeforderte Stellungsnahme vorliegt können wir Ihre Seite wieder dauerhaft freigeben.
Außerhalb dieser Zeiten können Sie auch unseren Notfallsupport kontaktieren. Diesen erreichen Sie unter 0721 / 7540 755-5. Je angefangener 15 Minuten Gesprächszeit berechnen wir hier jedoch 40⬠inkl. MwSt.
Anbei die angesprochene Abuse-Meldung:
Von:
abuse@clean-mx.de
An:
abuse@netcup.de
Cc:
certbund@bsi.bund.de
Signiert:
No public key found.: 64C06B73
Betreff:
[clean-mx-viruses-11125397](46.38.226.11)-->(abuse@netcup.de) viruses sites (1 so far) within your [...]
Anlage:
signature.asc , 500 Bytes
Dear abuse team,
please help to close these offending viruses sites(1) so far.
status: As of 2013-05-19 13:24:35 CEST
http://support.clean-mx.de/clean-mx/viruses.php?email=abuse@netcup.de&respo[..]
(for full uri, please scroll to the right end ...
We detected many active cases dated back to 2007, so please look at the date column below.
You may also subscribe to our MalwareWatch list
VirusWatch Info Page
This information has been generated out of our comprehensive real time database, tracking
worldwide viruses URI\'s
If your review this list of offending site, please do this carefully, pay attention for
redirects also!
Also, please consider this particular machines may have a root kit installed !
So simply deleting some files or dirs or disabling cgi may not really solve the issue !
Advice: The appearance of a Virus Site on a server means that
someone intruded into the system. The server\'s owner should
disconnect and not return the system into service until an
audit is performed to ensure no data was lost, that all OS and
internet software is up to date with the latest security fixes,
and that any backdoors and other exploits left by the intruders
are closed. Logs should be preserved and analyzed and, perhaps,
the appropriate law enforcement agencies notified.
DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY
PROBLEM, THEY WILL BE BACK!
You may forward my information to law enforcement, CERTs,
other responsible admins, or similar agencies.
+-----------------------------------------------------------------------------------------------
|date |id |virusname |ip |domain |Url|
+-----------------------------------------------------------------------------------------------
|2013-05-18 11:40:28 CEST |11125397 |TROJ_GEN.F47V0517 |46.38.226.11 |muenzcheck.de
|http://www.muenzcheck.de/wp-co…tc/min/efea8d25.e30d9c.js
+-----------------------------------------------------------------------------------------------
Your email address has been pulled out of whois concerning this offending network
block(s).
If you are not concerned with anti-fraud measurements, please forward this mail to the
next responsible desk available...
If you just close(d) these incident(s) please give us a feedback, our automatic walker
process may not detect a closed case
explanation of virusnames:
==========================
unknown_html_RFI_php not yet detected by scanners as RFI, but pure php code for injection
unknown_html_RFI_perl not yet detected by scanners as RFI, but pure perl code for
injection
unknown_html_RFI_eval not yet detected by scanners as RFI, but suspect javascript
obfuscationg evals
unknown_html_RFI not yet detected by scanners as RFI, but trapped by our honeypots as
remote-code-injection
unknown_html not yet detected by scanners as RFI, but suspious, may be in rare case false
positive
unknown_exe not yet detected by scanners as malware, but high risk!
all other names malwarename detected by scanners
==========================
yours
Gerhard W. Recher
(Geschäftsführer)
NETpilot GmbH
Wilhelm-Riehl-Str. 13
D-80687 München
GSM: ++49 171 4802507
Handelsregister München: HRB 124497
w3: http://www.clean-mx.de
e-Mail: http://mailto:abuse@clean-mx.de
PGP-KEY: Fingerprint: A4E317B6DC6494DCC9616366A75AB34CDD0CE552 id: 0xDD0CE552
Location: http://www.clean-mx.de/downloa…se-at-clean-mx.de.pub.asc
Mit freundlichen Grüßen
Ihr netcup Team
---------------------------------------------------------
netcup GmbH
Griesbachstraße 5
D-76185 Karlsruhe
Telefon: +49 721 / 7540755 - 0
Telefax: +49 721 / 7540755 - 9
Kunden- und Interessenten-Hotline: 0800 netcup 0
(Kostenlos aus dem Festnetz der Deutschen Telekom)
Web: www.netcup.de
eMail: mail@netcup.de
Handelsregister: HRB 705547, Amtsgericht Mannheim
Geschäftsführer:
- Dipl.-Ing. (BA) Felix Preuß
- Dipl.-Ing. (BA) Oliver Werner
USt.-IdNr.: DE262851304
---------------------------------------------------------