Non fidarti di quelle false email di conferma del dominio
Se mai ricevi una lettera di qualsiasi tipo che richiede di creare, scaricare o installare del codice PHP sul tuo sito web, devi ignorarla
English version: Do not trust those fake domain confirmation emails
Recentemente alcuni dei miei clienti hanno ricevuto strane lettere via email dai loro registrar di domini. Tali lettere contengono una richiesta di conferma dei propri domini. Ho controllato una di quelle lettere e l'ho subito identificata come lettera fraudolenta . Tutte le lettere hanno uno schema identico e una richiesta di creare un file PHP nella cartella principale di un sito web con un nome specifico e il contenuto indicato. Inutile dire che il contenuto suggerito per quel file PHP contiene codice dannoso noto come codice backdoor. Questo tipo di codice consente all'aggressore di eseguire qualsiasi azione desideri sul sito Web della vittima.
Se mai ricevi una lettera di qualsiasi tipo che richiede di creare, scaricare o installare del codice PHP sul tuo sito web, devi ignorarla. Nessuna eccezione. Anche se la lettera viene dal presidente o da tua madre.
Le lettere fraudolente sembrano legittime a causa dell'indirizzo email del mittente legittimo. Ma è uno spoofing di posta elettronica. Non ti aspetti di ricevere un'e-mail falsa dai tuoi amici o dal registrar del tuo dominio. Giusto? NO! Qualsiasi lettera e-mail può contenere qualsiasi indirizzo e-mail Da. La stragrande maggioranza dei server e dei client di posta elettronica non controlla né verifica l'indirizzo del mittente. Quindi lo vedi come lo voleva un hacker. Non devi fidarti delle lettere email che hai ricevuto da mittenti conosciuti se contengono una richiesta per azioni sospette come l'installazione di codice sul tuo sito web o un'applicazione sul tuo computer.
Dettagli tecnici
Le email false di solito contengono alcune delle seguenti righe PHP.
assert(stripslashes($_REQUEST['something']));
eval(stripslashes($_REQUEST['something']));
assert(base64_decode($_REQUEST['something']));
eval(base64_decode($_REQUEST['something']));
Per tua informazione: base64_decode, eval e assert sono indicatori ben noti di codice PHP sospetto o dannoso.
Vedi anche: Plugin Inspector rivela problemi di sicurezza con altri plugin