<font size="2"><font face="courier new,monospace">i don't think the problem is through FTP. i think someone has edited your site through the interface. the presence of</font></font><div><font size="2"><font face="courier new,monospace"><span class="Apple-style-span" style="border-collapse: collapse; font-family: arial, sans-serif; font-size: 13px; ">casino|gambling|porn|\bsms|milf|busty|prescription|pharmacy|penis|pills|enlarge</span></font></font></div>
<div><font><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><br></span></font></font></div><div><font><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><span class="Apple-style-span" style="font-family: 'courier new', monospace; border-collapse: separate; ">indicates this. check your access rights to the site in general or to that page in particular.</span></span></font></font></div>
<div><font><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><span class="Apple-style-span" style="font-family: 'courier new', monospace; border-collapse: separate; "><br>
</span></span></font></font></div><div><font><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><span class="Apple-style-span" style="font-family: 'courier new', monospace; border-collapse: separate; ">Rgds</span></span></font></font></div>
<div><font><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><span class="Apple-style-span" style="font-family: 'courier new', monospace; border-collapse: separate; ">Brian</span></span></font></font></div>
<div><font><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><span class="Apple-style-span" style="font-family: 'courier new', monospace; border-collapse: separate; "><br>
</span></span></font></font></div><div><font><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><span class="Apple-style-span" style="font-family: 'courier new', monospace; border-collapse: separate; "> </span><br>
</span></font></font><br><div class="gmail_quote">On 20 April 2011 14:53, Sandy <span dir="ltr"><<a href="mailto:sandy@onebit.ca">sandy@onebit.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Hello,<br>
<br>
This morning I received a note (see below) from my webhost, claiming that<br>
/home/mhschoen/public_html/cricket/wiki.d/SiteAdmin.Blocklist-MoinMaster<br>
contains something suspicious, and they have disabled it.<br>
<br>
(The contents of that file are below.)<br>
<br>
I updated to the current stable pmwiki version yesterday morning.<br>
<br>
My first suspicion is that their software is being overly-cautious.<br>
<br>
As far as I know, nothing on my computer remembers my FTP passwords, although given how "helpful" some programs are, I can't guarantee it, so, yes, I'll change the FTP and CPanel passwords to be safe.<br>

<br>
The FTP attributes of the files in wiki.d vary. Most are 0664 (-rw-rw-r--). The suspect file is now 0000.<br>
<br>
I did not get the note for the other sites on the same server.<br>
<br>
Searching <a href="http://pmwiki.org" target="_blank">pmwiki.org</a> for moinmoin shows nothing about security or block lists.<br>
<br>
<br>
Questions:<br>
<br>
Has anyone had this problem before?<br>
<br>
What is the best way to reactivate the protection I had from MoinMaster, or should I just disable it (and how)?<br>
<br>
Why do my two other subsites have different dates for the same page? Their attributes are both 0664 (-rw-rw-r--).<br>
<br>
Why is the file for one of the subsites only 2k and the others over 60?<br>
<br>
Thanks,<br>
<br>
Sandy<br>
<br>
<br>
<br>
+++++ Original Note ++++++++++++++<br>
<br>
We have received the following malware/malicious script alert for a file in your account:<br>
<br>
-------<br>
/home/mhschoen/public_html/cricket/wiki.d/SiteAdmin.Blocklist-MoinMaster<br>
-------<br>
<br>
The file is suspected to contain malicious script that can prove harmful. We have disabled the file.<br>
<br>
Please reset your cPanel/FTP passwords as soon as possible and do use strong passwords with alphanumeric characters. Kindly do not store cPanel or FTP passwords in browsers or FTP clients as the passwords will be stored as plain text. You can use something like <a href="http://keepass.info/" target="_blank">http://keepass.info/</a> to store the passwords.<br>

<br>
Malwares/Spywares can steal these passwords and they can hack your account and upload malicious contents to your website. This can lead to poor reputation of your website in search engines. The search engines and browsers will issue a warning when your website is being accessed and they will be blocked. Also, do not set worldwide write permissions (777) to any of the folders or files.<br>

<br>
Please scan your local machine for any virus/trojan/spyware using a good anti-virus/anti-spyware/malware.<br>
<br>
Also, please make sure the web applications in your website are updated to the latest version and the do check whether there are any vulnerabilities with the themes and plugins you use in them.<br>
<br>
++++++++++++++++++<br>
<br>
+++++++ Abbreviated Contents of SiteAdmin.Blocklist-MoinMaster<br>
<br>
version=pmwiki-2.2.0-beta15 ordered=1 urlencoded=1<br>
agent=Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.8) Gecko/20061025 Firefox/<a href="http://1.5.0.8" target="_blank">1.5.0.8</a><br>
ctime=1163616896<br>
host=74.114.163.75<br>
name=Site.Blocklist-MoinMaster<br>
passwdread=@lock<br>
rev=3<br>
text=%0a  [@%0a## blocklist-note:   NOTE: This page is automatically generated by blocklist.php%0a## blocklist-note:   NOTE: Any edits to this page may be lost!%0a## blocklist-url: <a href="http://moinmaster.wikiwikiweb.de/BadContent?action=raw%0a#%23" target="_blank">http://moinmaster.wikiwikiweb.de/BadContent?action=raw%0a##</a> blocklist-when:   2006-11-20T10:54:29%0a#  blocklist-format: regex%0a## Please edit system and help pages ONLY in the moinmaster wiki! For more<br>

%0a## information, please see MoinMaster:MoinPagesEditorGroup.<br>
%0a##master-page:Unknown-Page<br>
%0a##master-date:Unknown-Date<br>
%0a#acl All:read<br>
%0a#format plain<br>
%0a#language en<br>
%0a([\w\-_.]+\.)?(l(so|os)tr)\.[a-z]{2,}<br>
%0a(blow)[\w\-_.]*job[\w\-_.]*\.[a-z]{2,}<br>
%0a(buy)[\w\-_.]*online[\w\-_.]*\.[a-z]{2,}<br>
%0a(casino|gambling|porn|\bsms|milf|busty|prescription|pharmacy|penis|pills|enlarge)[\w\-_.]*\.[a-z]{2,}<br>
%0a(diet|penis)[\w\-_.]*(pills|enlargement)[\w\-_.]*\.[a-z]{2,}<br>
%0a(donne|annunci|tatuaggi|canzoni|musicali|scarica|salute|sesso|hentai|ragazze|sonnerie)[\w\-_.]*\.[a-z]{2,}<br>
%0a(i|la)-sonneries?[\w\-_.]*\.[a-z]{2,}<br>
%0a(incest|beastiality)[\w\-_.]*\.[a-z]{2,3}<br>
%0a(levitra|lolita|phentermine|viagra|vig-?rx|zyban|valtex|xenical|adipex|meridia\b)[\w\-_.]*\.[a-z]{2,}<br>
%0a(magazine)[\w\-_.]*(finder|netfirms)[\w\-_.]*\.[a-z]{2,}<br>
%0a(mike)[\w\-_.]*apartment[\w\-_.]*\.[a-z]{2,}<br>
%0a(milf)[\w\-_.]*(hunter|moms|fucking)[\w\-_.]*\.[a-z]{2,}<br>
%0a(online)[\w\-_.]*casino[\w\-_.]*\.[a-z]{2,}<br>
%0a(paid|online)[\w\-_.]*surveys[\w\-_.]*\.[a-z]{2,}<br>
%0a(prozac|zoloft|xanax|valium|hydrocodone|vicodin|paxil|vioxx)[\w\-_.]*\.[a-z]{2,}<br>
%0a(puss(ie|y)|adult|sex|fuck|suck|cock|virgin|ass)\S{0,15}\.info/<br>
%0a(ragazze)-?\w+\.[a-z]{2,}<br>
%0a(ultram\b|\btenuate|tramadol|pheromones|phendimetrazine|ionamin|ortho.?tricyclen|retin.?a)[\w\-_.]*\.[a-z]{2,}<br>
%0a(valtrex|zyrtec|\bhgh\b|ambien\b|flonase|allegra|didrex|renova\b|bontril|nexium)[\w\-_.]*\.[a-z]{2,}<br>
%0a\.(chat|boom|fromru|hotmail|newmail|nightmail|nm|narod|pochta)\.ru<br>
%0a\.[0-9]{5,}\.(com|net|org|us|biz|cn|ru)<br>
%0a\.4t\.com<br>
%0a\.51\.net<br>
%0a\.6x\.to<br>
%0a\.a\.la/<br>
%0a\.b3\.nu<br>
<br>
Delteted many similar lines<br>
<br>
%0ajipiaoair\.com<br>
%0acanjipiao\.com<br>
%0abjxiongfei\.com<br>
%0aSaNaLHaCKERLaR\.ORG<br>
%0ajspit7\.info<br>
%0akokoxx\.info<br>
%0adonte\.info<br>
%0alib/exe/fetch.php\?media=<br>
%0aimhotep\.sphosting\.com<br>
%0a1-myspace-layout\.blogspot\.com<br>
%0a%0a  @]%0a<br>
time=1164038069<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
pmwiki-users mailing list<br>
<a href="mailto:pmwiki-users@pmichaud.com" target="_blank">pmwiki-users@pmichaud.com</a><br>
<a href="http://www.pmichaud.com/mailman/listinfo/pmwiki-users" target="_blank">http://www.pmichaud.com/mailman/listinfo/pmwiki-users</a><br>
</blockquote></div><br><br clear="all"><br>-- <br><font face="'courier new', monospace"><div>Brian Tibbels</div></font><div><font face="'courier new', monospace">IT support for small business and the individual<br>
</font><div><font face="'courier new', monospace"><a href="http://clickmarlow.co.uk/" target="_blank">http://clickmarlow.co.uk/</a><br></font><div><font face="'courier new', monospace">m: 07804 109906</font></div>
<div><font face="'courier new', monospace">t: 01628 477640</font></div><div><font face="'courier new', monospace">skype: brian.tibbels </font></div><div><font face="'courier new', monospace"><br></font></div>
</div></div><br>
</div>