Nie ufaj fałszywym e-mailom potwierdzającym domenę

English version: Do not trust those fake domain confirmation emails

Ostatnio niektórzy moi klienci otrzymali dziwne e-maile od swoich rejestratorów domen. Zawierały one prośbę o potwierdzenie ich własnych domen. Sprawdziłem jeden z nich i szybko zidentyfikowałem go jako list oszukańczy . Wszystkie listy mają identyczny wzór i zawierają prośbę o utworzenie pliku PHP w folderze głównym witryny o określonej nazwie i określonej zawartości. Nie trzeba dodawać, że sugerowana zawartość tego pliku PHP zawiera złośliwy kod znany jako kod backdoor. Ten rodzaj kodu pozwala atakującemu na wykonanie dowolnej czynności na stronie ofiary.

Jeśli kiedykolwiek otrzymasz list z prośbą o stworzenie, pobranie lub zainstalowanie kodu PHP na swojej stronie internetowej, musisz go zignorować. Bez wyjątków. Nawet jeśli list pochodzi od prezydenta lub Twojej mamy.

Fałszywe listy wydają się autentyczne ze względu na poprawny adres e-mail w polu „Od” . Ale to jest podszywanie się pod kogoś. Nie spodziewasz się otrzymać fałszywego e-maila od znajomych ani od rejestratora domeny. Prawda? Nie! Każdy e-mail może zawierać dowolny adres e-mail w polu „Od”. Zdecydowana większość serwerów i klientów pocztowych nie sprawdza ani nie weryfikuje adresu nadawcy. W związku z tym, wiadomość jest poszukiwana przez hakerów. Nie ufaj żadnemu e-mailowi otrzymanemu od znanego nadawcy, jeśli zawiera on prośbę o wykonanie podejrzanej czynności, takiej jak instalacja kodu na Twojej stronie internetowej lub aplikacji na komputerze.

Szczegóły techniczne

Fałszywe e-maile zazwyczaj zawierają niektóre z poniższych wierszy kodu PHP.

assert(stripslashes($_REQUEST['something']));

eval(stripslashes($_REQUEST['something']));

assert(base64_decode($_REQUEST['something']));

eval(base64_decode($_REQUEST['something']));

UWAGA: base64_decode, eval i assert to dobrze znane markery podejrzanego lub złośliwego kodu PHP.

Zobacz także: Inspektor wtyczek ujawnia problemy z bezpieczeństwem innych wtyczek