Security Blog
Security Blog

Ne pas faire confiance à ces e-mails de confirmation de domaine faux

Si vous recevez une lettre de tout type demandant de créer, télécharger ou installer du code PHP sur votre site web, vous devez l'ignorer


English version: Do not trust those fake domain confirmation emails


Récemment, certains de mes clients ont reçu des courriers électroniques étranges de la part de leurs bureaux d'enregistrement de domaines. Ces lettres contiennent une demande de domaine de confirmation propre. J'ai vérifié l'une de ces lettres et l'ai rapidement identifiée comme une lettre frauduleuse . Toutes les lettres ont un motif identique et une demande pour créer un fichier PHP dans le dossier racine d'un site Web avec un nom spécifique et le contenu donné. Il va sans dire que le contenu suggéré pour ce fichier PHP contient un code malveillant appelé code de porte dérobée. Ce type de code permet à l'attaquant d'exécuter toute action de son choix sur le site Web d'une victime.

Si vous recevez une lettre de tout type demandant de créer, télécharger ou installer du code PHP sur votre site Web, vous devez l'ignorer. Aucune exception. Même si la lettre vient du président ou de ta mère.

Les lettres frauduleuses semblent légitimes en raison de légitimes adresses e-mail . Mais c'est un spoofing email. Vous ne vous attendez pas à recevoir un faux courriel de vos amis ou de votre registraire de domaine. Droite? Non! Toute lettre électronique peut contenir n’importe quelle adresse électronique De. La grande majorité des serveurs de messagerie et des clients de messagerie ne vérifient ni ne vérifient l'adresse de l'expéditeur. Donc, vous le voyez comme un pirate informatique. Vous ne devez pas faire confiance aux courriels que vous avez reçus d'expéditeurs connus si la lettre contient une demande d'action suspecte telle que l'installation de code sur votre site Web ou votre application sur votre ordinateur.

Détails techniques

Les faux emails contiennent généralement certaines des lignes PHP suivantes.

assert(stripslashes($_REQUEST['something']));

eval(stripslashes($_REQUEST['something']));

assert(base64_decode($_REQUEST['something']));

eval(base64_decode($_REQUEST['something']));

Pour info: base64_decode, eval et assert sont des marqueurs bien connus du code PHP suspect ou malveillant.

Voir aussi: Plugin Inspector révèle des problèmes de sécurité avec d'autres plugins

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.